редирект внешнего IP с локальной сети на сервер
 

Общее представление о сети.
Сервер Windows 2003 enterprise смотрит в интернет(Пров) и в локальную(Лок) сеть.
IP (Пров) 10.10.x.x
IP (Лок) 192.168.x.x

Есть внешний IP 178.x.x.x

У провайдера настроено зеркалирование IP (Внеш) на IP(Пров). На большее провайдер не готов.

tracert до IP(Внеш) с локального компа обрывается в сети провайдера.

В общем проблема:
Нужно настроить сервер так чтобы при обращении на IP(Внеш) клиент локальной сети по факту поподал на IP(Лок).
В линуксе есть iptables который позволяет это сделать. Нужно тоже только в Windows.

Причина проста. Клиент, ноутбук, который может сидеть и с локальной сети и с интернета, работает через терминальный сервер. Чтобы не плодить ярлыки а рабочем столе, и не объяснять работнику что "если ты здесь - то этот ярллык, а если ты там - то тот"

Как организован на сервере доступ в интернет RRAS, ICS или сторонее ПО??

через "Маршрутизация и удаленный доступ". Режим Nat.

это все хорошо, НО проблема стоит не в том что извне нельзя подключиться, а в том что подключиться нельзя изнутри. И то, и другое надо сделать по IP(Внеш).

А зачем это нужно? Если Вам необходимо чтобы пользователь всегда запускал одну программу и не путался в адресах то для этого есть DNS.

Ок.
Я понимаю что все это можно сделать через DNS и DDNS.
Проблему я в общем обошел. Присвоил локальной сетевой карте второй IP равный внешнему. все работает, все хорошо.

просто мне кажется что и вариант с DNS, и вариант со вторым IP - это обход проблемы. В Линуксе есть спецальный мощный механизм файерволинга и маршрутизации. Неужели в Windows нет не менее мощного ПО "в коробке".
Я понимаю что можно поставить ISA, Kerio, и т.п. - но они же денег стоят... и не малых...
А по мне серверная ос должна уметь маршрутизировать пакеты так, как этого захочет администратор.

Сейчас смотрю в сторону настройки маршрутизации через netsh...

проще говоря нужна какая-нибудь альтернатива iptables для Windows. С максимально приближенным функционалом.

Варианты со стороним ПО не рассматриваются. Не поверю что в Microsoft работают любители.


"Незнание не значит отсутствие"(Кто-то умный...(с)).

defolting,
iptables — утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана (брандмауэра) (Wiki) - или я не прав? В Windows есть и брандмауэр, и таблица маршрутизации.

Да, прав. Wiki никогда не врет, она не всегда говорит ВСЮ правду.

Iptables позволяет помимо закрытия открытия портов реализовывать и настраивать такие вещи как:
1.dnat, snat - изменение в заголовке TCP/IP адреса получателя/отправителя.
2.распределение нагрузки по нескольким интерфэйсам основываясь на назначеных правилах.
3.изменение информации о портах взаголовке пакета, как входящего так и исходящего.
4.ограничение пропускной способности канала, общей либо для каждого клиента отдельно
5.назначение интерфэйса получателя пакета.
6.возможность настройки динамического изменения портов в зависимости от условий(на какой порт пришел, с какого порта, ip получателя, отправителя, размер пакета, его маршрут)
7.возможность установки флагов TOS.

эти все возможности даже и не снились обычному ИНТЕРФЭЙСУ обычного брандмаузера.
Но 100% что он все это может. Вопрос как заставить его это сделать.