Hola: Primero debes manejar el tráfico de INPUT y OUTPUT hacia y desde el firewall, o sea, primero debe ingresar en el propio firewall, luego se hace una regla del PREROUTING donde se lleva a cabo un NAT de destino, y recién ahí vienen las reglas de FORWARD que ya tienes hechas. Las reglas de FORWARD solitas como las pusiste solo van cuando no es necesario hacer un NAT ni de origen ni de destino, o sea, solo pasa a través del firewall por ruteo. Aquí va un ejemplo que tengo en producción:
$IPTABLES -t filter -A INPUT -p tcp -s $ANYWHERE_NET --sport $UNPRIVPORTS -d $INTERNET_IP --dport $HTTP_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -t filter -A OUTPUT -p tcp -s $INTERNET_IP --sport $HTTP_PORT -d $ANYWHERE_NET --dport $UNPRIVPORTS -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -t nat -A PREROUTING -p tcp -s $ANYWHERE_NET --sport $UNPRIVPORTS -d $INTERNET_IP --dport $HTTP_PORT -j DNAT --to $LAN_IP $IPTABLES -t filter -A FORWARD -p tcp -s $ANYWHERE_NET --sport $UNPRIVPORTS -d LAN_IP --dport $HTTP_PORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPTABLES -t filter -A FORWARD -p tcp -s LAN_IP --sport $HTTP_PORT -d $ANYWHERE_NET --dport $UNPRIVPORTS -m state --state ESTABLISHED,RELATED -j ACCEPT Suerte. El 21 de febrero de 2016, 12:33, Alexis Verano Glez < alexis.ver...@cab.onbc.cu> escribió: > Hola lister@s, > > Estoy creando un cortafuegos en una red nueva que estoy creando y tengo > dificultad con el reenvio de las peticiones desde la WAN hacia la LAN, le > pongo las configuraciones > > ******************************* > CONFIGURACION DEL ROUTER > > IP Router: 192.168.2.9 > IP PC Conectada al router (eth0): 192.168.2.10 > > ******************************* > > IP PC Conectada al swith LAN (eth1): 192.168.3.1 > > IP PC Servicios RED: (CORREO, DHCP, DNS, CHAT) 192.168.3.2 > > ******************************* > > ...... Esta es la configuracion que tengo hasta el momento, por supuesto > que no es la final. > > ########################## > ## CONFIGURACION FIREWALL IPTABLES > ########################## > #!/bin/sh > > # eth0 : 192.168.2.10 (IP conectado al router) > # eth1 : 192.168.3.1 (IP conectada a la LAN) > > ## FLUSH de reglas > iptables -F > ##iptables -X > ##iptables -Z > ##iptables -t nat -F > > ## Establecemos politica por defecto > iptables -P INPUT DROP > iptables -P OUTPUT ACCEPT > iptables -P FORWARD DROP > ##iptables -t nat -P PREROUTING DROP > ##iptables -t nat -P POSTROUTING DROP > > ######################### > ## GESTION DE TRAFICO > ######################### > > # Servidor DNS (puerto 53) > iptables -A FORWARD -i eth1 -p tcp --dport 53 -d 192.168.3.2 -j ACCEPT > iptables -A FORWARD -i eth1 -p udp --dport 53 -d 192.168.3.2 -j ACCEPT > > # Servidor Correo (puertos 25, 110 y 143) > iptables -A FORWARD -d 192.168.3.2 -p tcp --dport 25 -j ACCEPT > iptables -A FORWARD -s 192.168.3.2 -p tcp --sport 25 -j ACCEPT > > iptables -A FORWARD -d 192.168.3.2 -p tcp --dport 110 -j ACCEPT > iptables -A FORWARD -s 192.168.3.2 -p tcp --sport 110 -j ACCEPT > > iptables -A FORWARD -d 192.168.3.2 -p tcp --dport 143 -j ACCEPT > iptables -A FORWARD -s 192.168.3.2 -p tcp --sport 143 -j ACCEPT > > # Acceso al Webmail del Servidor de Correo (puerto 80) > iptables -A FORWARD -i eth1 -p tcp --dport 80 -d 192.168.3.2 -j ACCEPT > > # Servidor Chat (puertos 5269, 5222) > ##VARIANTE 1 > iptables -A FORWARD -i eth1 -p tcp --dport 5269 -d 172.16.3.200 -j ACCEPT > iptables -A FORWARD -i eth1 -p tcp --dport 5222 -d 172.16.3.200 -j ACCEPT > ##VARIANTE 2 > iptables -A FORWARD -d 172.16.3.200 -p tcp --dport 5269 -j ACCEPT > iptables -A FORWARD -d 172.16.3.200 -p tcp --dport 5222 -j ACCEPT > > > > =================================================== > > He estado revisando algunos manuales, pero encuentro mucha diversidad de > criterios por ejemplo: > > Como redirecciono una peticion desde la WAN hacia la LAN, del correo > > VARIANTE 1 > iptables -A FORWARD -i eth1 -p tcp --dport 25 -d 192.168.3.2 -j ACCEPT > > VARIANTE 2 > iptables -A FORWARD -d 192.168.3.2 -p tcp --dport 25 -j ACCEPT > > > =================================================== > > > Saludos... > > > -- > > > Lic. Alexis Verano Glez > J´ Departamento de Informática > Centro Nacional de Desarrollo Profesional. ONBC. > Correo-e: alexis.ver...@cab.onbc.cu > TLF: (+53)7643-9241 > > -- Usuario Linux Registrado # 342019 --> http://linuxcounter.net/ <-- skype --> luedcortes gtalk --> luedcor...@gmail.com msn --> luedcor...@gmail.com
