Проблема с пересылкой.

Судя по твоему описанию, все выглядит идеально, раз уж ты так говоришь. LAN1 и LAN2 разделены, трафик между ними не допускается. Так что, если тебе нужен только один сервис с LAN2, то можно добавить правило "jump" перед правилом "drop", я бы предположил, что ты отбрасываешь все данные из одного диапазона LAN с назначением в другой диапазон LAN? Но это всего лишь предположение?

Есть 2 способа / 2 шага: добавить статический DNS-запись в TIK (если обе сети используют TIK как DNS) для www.domain.com на 1.1.1.2. Тогда обе сети просто моментально вернутся к запросу DNS. Разрешить 1.1.1.2:80 из lan2. Базовый принцип – разрешить трафик :80 между двумя сетями. Так, в твоем правиле отбрасывания можно сделать следующее: из lan2 в lan1 – !порт 80 (не порт 20), отбрасывать. Это отбросит весь трафик, *кроме* трафика на :80, и он дойдет до сервера. Можно сделать и очень кривую правку, например, dest 1.1.1.2:80 masq как правило 1, или использовать jump или as правило 1 – это может быть чище. Тогда правила отбрасывания не будут обрабатываться, если это понятно. Я не знаю, как ты отбрасываешь трафик между этими двумя диапазонами, ведь это можно сделать с помощью нескольких таблиц маршрутизации и так далее. Можно также попробовать netmap. В общем, есть несколько вариантов. Если хочешь посмотреть, что происходит, можешь пометить трафик и посмотреть на него в con-track.

"Насчёт "прыжка" или чего-то подобного для тех сервисов, которые вы хотите исключить? Как правило, сначала 1, 2 и так далее, перед тем, как отсекать трафик, мне кажется, правильно сначала убрать блоки между сетями, а потом проверить, всё ли работает, и уже потом продолжать? Если почитать руководство по брандмауэру, там видно, как можно пропускать некоторые устройства через блоки."