Decidí jugar con iptables y básicamente soy nuevo en esto todavía. Intentando usarlo como firewall. Mi objetivo es reenviar un servicio RDP desde el lado LAN. Aquí está mi escenario:
ens32 es la interfaz WAN, ens33 es la interfaz LAN, 10.9.3.1 pertenece a la subred LAN, es el host al que se debe acceder al servicio RDP a través de la WAN.
Mi idea era la siguiente: según la primera regla, quería rechazar todos los tráficos en general. El segundo permite las conexiones relacionadas y establecidas a través de la WAN. El tercero permite el tráfico RDP saliente y el último es la regla de reenvío de puerto dstnat.
Mi problema es que si la primera regla está activa, entonces el reenvío de puertos no funciona. Solo funciona si desactivo la regla de rechazo. Creo que es posible que me haya saltado algo. Aquí está mi configuración:
-A PREROUTING -i ens32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.9.3.1:3389
-A FORWARD -i ens33 -s 10.9.3.1/32 -p tcp -m tcp -o ens32 -d 0.0.0.0/0 --dport 3389 -j ACCEPT
-A FORWARD -i ens32 -o ens33 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
¡Gracias de antemano!