1. Если правила DNAT не работают, проверьте что в правила вообще попадает трафик. В таблице nat, цепочке POSTROUTING посмотрите реальное существование правил, которые вы добавили через firewall в Менеджере.
Для примера рассмотрим создание DNAT с адреса 1.2.3.4 по tcp и udp портам 2222 на адрес 10.0.0.1 порт 4444 *и создание DNAT с адреса 1.2.3.4 по tcp и udp портам 2233 на адрес 10.0.0.1 порт 4455*
После того как правила добавлены через Менеджер или вручную, сделайте несколько обращений на адрес:порт по которым сделаны пробросы.
Теперь можно посмотреть сколько пакетов вообще попало в пользовательский firewall. В примере до пользовательского firewall'a дошло 142Мб трафика
iptables -t nat -nvL PREROUTING | grep fw_custom_dnat 1432K 142M fw_custom_dnat all * * 0.0.0.0/0 0.0.0.0/0
А сколько пакетов попало в правила DNAT можно посмотреть командой
iptables -t nat -nvL fw_custom_dnat Chain fw_custom_dnat (1 references) pkts bytes target prot opt in out source destination 0 0 DNAT tcp -- * * 0.0.0.0/0 1.2.3.4 tcp dpt:2222 to:10.0.0.1:4444 0 0 DNAT udp -- * * 0.0.0.0/0 1.2.3.4 udp dpt:2222 to:10.0.0.1:4444 8 123 DNAT tcp -- * * 0.0.0.0/0 1.2.3.4 tcp dpt:2233 to:10.0.0.1:4455 0 0 DNAT udp -- * * 0.0.0.0/0 1.2.3.4 udp dpt:2233 to:10.0.0.1:4455
Из листинга видно что пришедшие пакеты попали только в правило DNAT для адреса 1.2.3.4 по tcp порту 2233. В остальные правила пакеты не попали и проброс по этим портам не сработал. Значит пакеты либо не дошли до биллинга вообще либо были обработаны правилами файервола выше.
2. Если правила DNAT настроены верно, в них попадают пакеты, но результата нет - вероятно включен RP_FILTER(Консольное меню -> Конфигурирование сервера -> Безопасность -> Проверка обратного пути (RP_FILTER)).
Его нужно отключить