Configurar el comportamiento de filtrado NAT con iptables

Question

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -P FORWARD -j DROP
iptables -A FORWARD -o eth1 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED -j ACCEPT

¿Qué hacen estas reglas?

-A POSTROUTING -o eth1 -j MASQUERADEoculta su IP interna cuando los paquetes salen de su red
-P FORWARD -j DROPestablece la política predeterminada para su cadena FORWARD en DROP
-A FORWARD -o eth1 -m state --state NEW,ESTABLISHED -j ACCEPTpermite conexiones REenviadas nuevas y establecidas
-A FORWARD -i eth1 -m state --state ESTABLISHED -j ACCEPTsólo permite conexiones REenviadas establecidas en

Las reglas anteriores suponen que está utilizando esta caja como puerta de enlace/firewall conectada eth1a su WAN y eth0conectada a su LAN.

Lectura adicional:Postenrutamiento y enmascaramiento de IP

EDITAR

Para configurar el reenvío de puertos "condicional":

Por puerto de origen

iptables -A PREROUTING -t nat -i eth1 -p tcp --sport [trusted_source_port] --dport [external_port] -j DNAT --to [internal_ip]:[internal_port]
iptables -A FORWARD -p tcp -d [internal_ip] --dport [internal_port] -j ACCEPT

Por IP de origen

iptables -A PREROUTING -t nat -i eth1 -p tcp -s [trusted_source_ip] --dport [external_port] -j DNAT --to [internal_ip]:[internal_port]
iptables -A FORWARD -p tcp -d [internal_ip] --dport [internal_port] -j ACCEPT

Answer 1

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -P FORWARD -j DROP
iptables -A FORWARD -o eth1 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED -j ACCEPT