Т.е. по факту получается следующее..
Гипервизор внешний IP xxx.xxx.xxx.xxx
Интерфейс контейнера 10.10.10.1
Цыск yyy.yyy.yyy.yyy
Внутренний адрес цыски 192.168.1.1Вот iptables
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 500 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 4500 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 4500 -j ACCEPT
/sbin/iptables -A INPUT -p esp -j ACCEPT
/sbin/iptables -A INPUT -p ah -j ACCEPT
/sbin/iptables -t nat -I POSTROUTING 1 -p 50 -j ACCEPT
/sbin/iptables -t nat -I POSTROUTING 1 -p 51 -j ACCEPT
/sbin/iptables -t nat -I POSTROUTING -s 10.10.0.0/16 -d 192.168.1.0/24 -j SNAT --to-source yyy.yyy.yyy.yyy
/sbin/iptables -I POSTROUTING -t nat -d 192.168.1.0/24 -j RETURN
/sbin/iptables -A INPUT -i vmbr0 -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -i vmbr0 -p tcp --dport 8006 -j ACCEPT
/sbin/iptables -A INPUT -i vmbr0 -p tcp --dport 5900 -j ACCEPT
/sbin/iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o vmbr0 -j MASQUERADE
/sbin/iptables -t nat -A PREROUTING -d xxx.xxx.xxx.xxx -p udp -m udp --dport 1194 -j DNAT --to-destination 10.10.11.10:1194
Вариант для распечатки
