portforward (utifrån -> in)

Hmm... tror det blir något i stil med:

/sbin/iptables -t nat -A PREROUTING \
--source 192.168.0.0/24 \
--proto tcp --destination-port 8888 \
--destination host.nu \
--jump REDIRECT --to 192.168.0.2:8888

Men jag chansar bara lite nu om jag ska vara ärlig, har inte möjligthet att testa samma scenario själv.

Skickar vidare extern port 8888 till 192.168.0.2:80 samt dirigerar all trafik som kommer från det interna nätverket till linuxrouterns interna IP. På så sätt kan även klienterna på interna nätverket ansluta till din servers tjänster via det externa IP numret. Ett måste om du vill använda din servers domännamn istället för interna IP nummer, internt.
Gör en till likadan om du även använder UDP.

iptables -t nat -A POSTROUTING -d 192.168.0.2 -s 192.168.10.0/24 -p tcp --dport 8888 -j SNAT --to $int_ip
iptables -t nat -A PREROUTING  -i $int_if -p tcp --dport 8888 -j DNAT --to 192.168.0.2:80
iptables -t nat -A PREROUTING  -d $ext_ip -p tcp --dport 8888 -j DNAT --to 192.168.0.2:80

Jag använder även följande kod i början av scriptet, perfekt för er med dynamiska IP-nummer från er internetleverantör.

ext_if="eth0"
int_if="eth1"
ext_ip=`/sbin/ifconfig|grep $ext_if -2|grep inet|cut -f2 -d:|awk '{print $1}'`
int_ip=`/sbin/ifconfig|grep $int_if -2|grep inet|cut -f2 -d:|awk '{print $1}'`

Fan vad jag är bra.

Annars är det inget fel på det ypperliga rinetd
Följande i rinted.conf

1.2.3.4 8888 192.168.0.2 80

Men sen förstår jag inte varför du vill ha en webserver på port 8888?
Mycket snyggare att köra med en baklängesproxy och vhosts så du kan ha vhost-lagret "ytterst" och sedan skicka till vilken dator och port som helst i ditt nätverk.

Pound sköter detta helt otroligt smidigt
Pound kan dessutom aggera ssl-wrapper om man känner för det.
Lastbalansering är det till för också, om man vill.

Precis.
Någon DNS-server behövs inte, så länge du får allt till dig (Typ *.host.nu går till dig)

Om datorn som nu ska skicka trafiken vidare också kör en webserver så kan du lägga den lokala webservern på en annan port, vilken som helst. Bara lyssna på localhost i princip borde funka.
Sen så i pound lägger du till så att remote.host.nu skickas till 192.168.0.2:80 och allt annat skickas till 127.0.0.1:81 eller vad som helst.

Tillägg:
Tog mig friheten att anta att macq.mine.nu är domänen ifråga, testade att gå till http://test.macq.mine.nu/ och hamnade på samma ställe. Alltså skickas allt under macq.mine.nu till samma adress, vilket är önskvärt i detta fall.

Så det du behöver göra är:
1. Säg åt din lokala webserver att lyssna på annan port än port 80, vilken som helst går bra
2. Installera pound
3. Konfigurera pound
4. Njuta :-]

Att installera pound borde inte vara några problem alls och att konfigurera kan jag väl ge ett litet tips på något som kan tänkas fungera

LogLevel 3
Alive 30
ListenHTTP 0.0.0.0,80

UrlGroup ".*"
HeadRequire Host ".*remote.macq.mine.nu.*"
BackEnd 192.168.0.2,80,1
EndGroup

UrlGroup ".*"
HeadRequire Host ".*enannanserver.macq.mine.nu.*"
BackEnd 192.168.0.3,1234,1
EndGroup

UrlGroup ".*"
HeadRequire Host ".*macq.mine.nu.*"
BackEnd 127.0.0.1,8000,1
EndGroup

Något sådant kanske, ej beprövat men det funkar säkert.

Vad blev det att använda till slut?

Annan trevlig programvara i samma "stuk" är jftpgw, en ftp-proxy åt båda hållen.
Så att vissa konton eller adresser hamnar på olika ställen.
Du kan göra så att alla som försöker logga in med allt annat än vissa username skickas vidare till typ Sunet's ftp. Så att det ser ut som en oskyldig ftp medans dom som får komma in hamnar rätt.
Funkar även åt andra hållet, detta har jag dock inte använt mig av.

iptables -t nat -A POSTROUTING -d 192.168.0.2 -s 192.168.10.0/24 -p tcp --dport 8888 -j SNAT --to $int_ip
iptables -t nat -A PREROUTING  -i $int_if -p tcp --dport 8888 -j DNAT --to 192.168.0.2:80
iptables -t nat -A PREROUTING  -d $ext_ip -p tcp --dport 8888 -j DNAT --to 192.168.0.2:80

ext_if="eth0"
int_if="eth1"
ext_ip=`/sbin/ifconfig|grep $ext_if -2|grep inet|cut -f2 -d:|awk '{print $1}'`
int_ip=`/sbin/ifconfig|grep $int_if -2|grep inet|cut -f2 -d:|awk '{print $1}'`

Väldigt intressant kod, lovar.
Speciellt den här delen: iptables -t nat -A PREROUTING -i $int_if -p tcp --dport 8888 -j DNAT --to 192.168.0.2:80

Du är fullt medveten om att det där skickar vidare ALL trafik som kommer in från det interna nätverket som ska till någon IP-address på port 8888 kommer forwardeas till den lokala burken? Han skulle kunna skriva http://123.123.123.123:8888/ så kommer han dit.

Så jag skulle kört dom här raderna istället:
iptables -I FORWARD -p tcp -d 192.168.0.2 --dport 80 -j ACCEPT
iptables -t nat -I POSTROUTING -p tcp -d 192.168.0.2 --dport 80 -j MASQUERADE
# jag vet inte säkert om det ska vara 8888 eller 80 som port, men rent logiskt borde det i prerouting köras igenom först så port 80 borde vara rätt
iptables -t nat -I PREROUTING -p tcp -d <host.nu's ip-address här> --dport 8888 -j DNAT --to-destination 192.168.0.2:80

Men för att avsluta.. tajson.. "Fan vad du inte är bra".