hallo jan,
IPTABLES -t nat -A PREROUTING -p tcp -i eth1 --dport 5631 -j DNAT --to 192.168.1.22:5631
Hast Du auch an den Rückweg gedacht? Kommt die Antwort von 192.168.1.22:5631 an den externen Rechner auch durch, oder wird die irgendwo abgeblockt/nicht geforwardet?
Ich bin mir nicht mehr sicher, was genau -i (incoming) unter iptables bedeutet, aber es ist eben nur die eine Richtung, die zugelassen wird. Meine ich.
das connection tracking sollte dafuer sorgen, dass alle ankommenden und zugelassenen verbindungen auch den rueckweg finden. sonst muesste man ja jeder verbindung explizit den rueckweg freischalten, was bei dynamischen ports etwas problematisch wird. wenn ich mich recht erinnere, muss die rule fuer das forwarding auch unter "FORWARDING" laufen. PREROUTING filtert nur das heraus, was auf den router selbst gehen soll, iirc. in der c't 26/01 war ein guter artikel ueber iptables, bei bedarf gern per private mail. hth wolfgang