Если Вам только нужен DFS, оценивающий с DAVE (www.thursby.com) запускается на уровне 119$ и быстро отбрасывает оттуда в больших количествах. ADmitMac является, вероятно, излишеством, которое включает технологию DAVE, а также поддержку Active Directory товарного сорта и с WGM и с поддержкой управления GPO.
Вы перенаправляете ВСЕ пакеты на порт 80 и 443 вашему гостю, включая его собственные пакеты. Добавьте условие
-i eth0
в правила DNAT.
Можете ли вы проверить (с помощью tcpdump), что происходит на веб-сервере? Я предполагаю, что такое правило отсутствует (предполагается, что eth1 - ваш внутренний интерфейс):
iptables -t nat -A PREROUTING -i eth1 -o eth1 -j SNAT --to $INTERNAL_GATEWAY_IP
Без этого клиент пытается подключиться к 1.2.3.4, шлюз отклоняет пакет на 10.0.43.113, веб-сервер видит соединение от клиента (например, 10.0.43.112), таким образом, отправляет свой ответ на 10.0.43.112, а клиент, отправивший на 1.2.3.4 и получивший ответ от 10.0.43.113, просто идет «WTF?» ... Но с SNAT веб-сервер отвечает на шлюз , шлюз перезаписывает адреса отправителя и получателя, и все довольны.