Ubuntu, ІР адрес 77.31... , в локалке комп на котором стоит апачь, порт 80. В iptables сделал редирект на этот комп где стоит апачь чтобы иметь доступ извне по адресу 77.31....:21515 "It works!". Подскажите как сделать доступ из локалки чтобы можно было также достучаться по этому сокету 77.31....:21515 к апачу.

Если пробую стучаться в локалке к этому компу где стоит апачь по адресу 192.168.1.12:80 таким образом работает, а если с локалки на внешний интерфейс тогда не работает.

Нужно не забывать, что просто редирект во внутренней сети работать не будет - нужно делать maskarading сетевого адреса отправителя и redirect на адрес получателя - тогда обратный пакет пойдёт через шлюз, и тот, кто спрашивал, получит ответ от того, кого он запрашивал, а не от того, на которого переадресовали.

(2) Если знаете, можете нарисовать правило?

В цепочке forward с внешнего интерфейса на внутренней, если пришёл из внутренней сети, то snat на адрес внутреннего интерфейса шлюза, а dnat на адрес машины, на которую переадресуем.
Должно работать.

у меня стоит squid, может как то повлиять, если его останавливаю все равно не работает

подскажите, какое надо использовать правило?

поставь себе firehol не мучайся

Без iptables никуда, все через него идет

(8) Прежде чем писать погугли, что такое firehol. Это надстройка над iptables. Облегчает создание правил.

Ты для начала правила то покажи, мы тут не все телепаты.

-A PREROUTING -s 192.168.1.0/24 -d 77.31.... -p tcp --dport 21515 -j DNAT --to-destination 192.168.1.5:21515

192.168.1.5 - это комп на котором стоит апачь

Может форвардинг надо еще сделать?

А зачем ты источник указываешь? У тебя же и снаружи и изнутри доступ должен быть открыт. Ну и по одному правилу ничего не понятно. Все правила покажи.
Что бы скинуть все правила в файл, в консоли набери iptables-save > имяфайла

(13) Мне надо правило чтобы дать доступ с этой же локальной сети к веб серверу через внешний ІР.

Пишут такой вариант:

ptables -t nat -A POSTROUTING —dst $LAN_IP -p tcp —dport $SRV_PORT -j SNAT —to-source $INT_IP
iptables -t nat -A POSTROUTING —dst 192.168.0.22 -p tcp —dport 80 -j SNAT —to-source 192.168.0.1

Но что то он не работает или может это не все

"или может это не все" - так если ты не все правила показываешь, откуда знать то?

(0) Насколько я помню шаманство с иптаблицами есть два варианта:
1. Мапить по условию (вх. eth, адрес, порт) на порт.
2. Тупо менять адрес назначения по условиям из 1.
Все детально описано в манах по иптаблицам + примеры в гугле.

+(17) Во втором варианте удаленный сервер должен знать через что пакеты обратно слать, то т.к. вы в локалке то пох.

Ну замутили. Схема фиг поймешь. Объясни что ты хочешь получить. Непонятно для чего получать доступ изначально, если это все равно локалка 80 порт. Непонятно как ты сделал редиректинг на 80 порт локалки извне. Нарисовай схему

Делай лучше редирект через xinetd. Намного управляемее и можно логировать сеансы.

(20) Чем управляемее и почему iptables не может вдруг логировать. На вкус и цвет помидоры разные.

Изначально проще было апач посадить на 21515 и не париться, либо
     Listen 192.168.1.12:80
     Listen  77.31....:21515
без редиректов

(22) Мне на надо Listen 192.168.1.12:80 , так он конечно работает. Мне надо чтобы с локалки был выход через  Listen  77.31....:21515

(22) Не надо

(24) Сделал Listen и настроил nat. И все бы сразу заработало.

(25) Извне сделал, еще надо с локалки