Configure o comportamento da filtragem NAT com iptables

Question

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -P FORWARD -j DROP
iptables -A FORWARD -o eth1 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED -j ACCEPT

O que essas regras fazem?

-A POSTROUTING -o eth1 -j MASQUERADEoculta seus IPs internos conforme os pacotes saem da sua rede
-P FORWARD -j DROPdefine a política padrão para sua cadeia FORWARD como DROP
-A FORWARD -o eth1 -m state --state NEW,ESTABLISHED -j ACCEPTpermite conexões FORWARDed novas e estabelecidas
-A FORWARD -i eth1 -m state --state ESTABLISHED -j ACCEPTpermite apenas conexões FORWARD estabelecidas em

As regras acima pressupõem que você esteja usando esta caixa como um gateway/firewall conectado eth1à sua WAN e eth0conectado à sua LAN.

Leitura Adicional:Pós-roteamento e mascaramento de IP

EDITAR

Para configurar o encaminhamento de porta "condicional":

Por porta de origem

iptables -A PREROUTING -t nat -i eth1 -p tcp --sport [trusted_source_port] --dport [external_port] -j DNAT --to [internal_ip]:[internal_port]
iptables -A FORWARD -p tcp -d [internal_ip] --dport [internal_port] -j ACCEPT

Por IP de origem

iptables -A PREROUTING -t nat -i eth1 -p tcp -s [trusted_source_ip] --dport [external_port] -j DNAT --to [internal_ip]:[internal_port]
iptables -A FORWARD -p tcp -d [internal_ip] --dport [internal_port] -j ACCEPT

Answer 1

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -P FORWARD -j DROP
iptables -A FORWARD -o eth1 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED -j ACCEPT