> а целевой адрес уже должен быть подменен на адрес самого сервера в
> правиле DNAT!Всё не так, как ты думаешь. Исправь это.
SNAT - "до" (и в PREROUTING (**)), DNAT - "после" (и в POSTROUTING).
> Ну а если убрать правило "запрещаем форвардинг на все порты и все
> протоколы для должников", то должник спокойно проходит куда угодно. Ну т.е.
> получается, что подмены целевого адреса все таки не происходит. Что я
> не так сделал?
(**) - Хотя и в POSTROUTING тоже будет работать. Это "сложно!.//"Но лучше договориться и заплатить."(ц)
Смысл вот в чём: когда "поднимаешься" над "все правила в *tables исполняются в таком-то порядке", осматриваешься вокруг и углубляещься в делати, то... **обнаруживается**, что "всё сложнее" -- iptables переплетены с роутингом, conntrack-ом, иногда с arp или ещё чем "в сетевом стэке" (bridge, например, mss, tcp-флаги, итд, итд)...
-----
https://duckduckgo.com/?q=%D0%BF%D1%80...
http://www.opennet.me/docs/RUS/iptables/#TRAVERSINGGENERAL
http://www.opennet.me/docs/RUS/iptables/misc/iptables-tutori...
http://www.opennet.me/base/net/linux_packet_filter.txt.html
...
(!) www.opennet.ru/openforum/vsluhforumID1/78852.html#1
где-то (даже в новостях?? или на гитхабе?) была ещё более радужная картинка. Не нашёл--
---https://duckduckgo.com/?q=captive+portal+linux+iptables&t=ff...