>т.е. 1) пробросить порт X.X.X.X:5555 (eth0) на хост_внутрисети:5555 google.ru + iptables port-forward site:opennet.ru/openforum
===
Читайте также главы из книги "Портовый форвардинг, как он ест", того же автора:
http:/openforum/vsluhforumID10/3591.html#4
http:/openforum/vsluhforumID10/3717.html#6
===
Посмотрите в последней ссылке - простейшие "прокси" для форварда портов.
xinetd это тоже умеет, говорят.
* В iptables для прокси-приложений нужно открывать порты для соединений на _шлюз_ (цепочки INPUT/OUTPUT, NAT не нужен).
===
Чего ещё может не хватать:
http:/openforum/vsluhforumID13/413.html#3
(SNAT не всегда нужен.)
===
Если горит сделать iptables-ами, то "учиться и искать, найти и перепрятать".
Внимательно изучить _пути_ прохождения пакетов через роутер (и НАТ в частности) обратить внимание, что в -t NAT переписываются адреса (в PREROUTING - места назначения (=DNAT), в POSTROUTING - "исходящий" адрес соединения (=SNAT)), а между ними ещё нужно разрешающее правило в -t FILTER, вызываемое из цепочки FORWARD. И да, порядок прохождения таблиц (в iptables tutorial кратинка есть - очень способствует :) ) важен: в частности пакет проходит FORWARD после DNAT и до SNAT = адрес назначения "новый", а источника - ещё не изменённый. (Ма-а-аленький нюанс: в -t NAT попадает только первый пакет соединения, через -t FILTER идут все.)
Кроме того, для представления соединения внутрь локалки вариантов два: со SNAT-ом и без него. Во втором случае внутрений сервер "увидит" внешние адреса клиентов, и при этом на нём нужно убедиться, что это работает (настроить роутинг).
sysctl ip_forward у Вас уже включён. (И да, без него заклинания тож не заработают.)
>3)пока канал 2 прова не рассматриваем - он как резервный
>пробовал сделать как в статье
Если Вы не рассматриваете работу с двумя провайдерами _одновременно_, policy routing из этой и продобных статей (про "два провайдера" --> http:/tips/info/1651.shtml ) вроде как не нужен.