Мы как будто с разных планет. Вопрос предполагал ответ: Да правила добавляются правильно или нет правила добавляются неправильно, а Вы опять дали ответ из которого это непонятно.
Если правила сделали мы, то на каком основании они должны быть неправильны? На том, что у всех всегда работали, а тут вы неожиданно подвергли их сомнению - мы решились их посмотреть и обнаружить, что "вау, действительно, это несчастные 20 правил действительно содержат ошибку".
Ваша ошибка в другом, я уже 2 раза о ней писал. Разжую, раз вы не хотите приложить усилия к самообразованию. Провайдер вам выдал сеть. Допустим 1.2.3.0/24. Это неважно. Вы, как экономный гражданин, подумали "опа, это же 254 адреса, а мне нужно только 2: мне и прову. А не назначить ли мне клиентам остальные адреса". И назначили. Все? А где место для операции "думать"? Ставьте себя на место провайдера. Он посылает arp-запрос на ip 1.2.3.123 чтобы достучаться до вашего клиента. Кто ему ответит на этот arp-запрос? Ваш сервер? Нет, с какого будуна ему отвечать на запрос, который направлен не ему? Ваш провайдер, потаймаутил пару секунд , да и послал в инет ответ "хост анричибл". А вы после этого начали ковырять фаервол. А почему бы тогда не mysql ковырять в таком случае?
Вывод о структуре сети делаю на основе ваших же данных. Если вы пытались вручную что-то исправить и сделали это неудачно, запутав нас всех, то извините, это не наши проблемы. Ваши реальные ip здесь никому не нужны, а xx.xx только путает, писали бы уже 2.2.2.2. Но, скорее всего, проблема именно в том, что сети пересекаются даже не смотря на то, что вы это пытались замаскировать.
Если вам провайдер не выдает дополнительную сеть, то можно послушать совета Версуса: бинат. Однако, я бы не жлобился и купил отдельную сеть, это гораздо более правильное решение, и удобное!
По поводу списка. После 3го действия начинается Profit, поскольку, в который раз повторяю, никаких действий делать не нужно, все работает автоматически. Биллингу по барабану какой адрес белый или серый. Более того, побарабану и фаерволу, поскольку трансляцией адресов занимается Pf-nat в данном конкретном случае. Я поэтому его и в доке привел, чтоб ни у кого не было проблем. И настроил его так, что он натит только серые сети.
