Problema con iptables, NEW, ESTABLISHED, RELATED -Correccion

[ciracusa <ciracusa@gmail.com>]

Lista, buenas tardes.

Llevo armando un firewall hace unos dias y hasta ahora todo viene bien
excepto por una cuestion que no estoy pudiendo solucionar y quisiera
pedirles una opinión:

Con esta línea:

iptables -t nat -A PREROUTING -p tcp -i eth0 -s $LAN --dport 22 -j DNAT
--to 192.168.5.1:22

Permito que el trafico que ingresa por eth0 al port 22 sea redirigido a
192.168.5.1:22

Ahora, tengo otra aplicacion que me genera la necesidad de hacer lo
mismo con el port 2510, por lo que hago:

iptables -t nat -A PREROUTING -p tcp -i eth0 -s $LAN --dport 2510 -j
DNAT --to 192.168.5.1:2510

Y aquí se sucede el problema, ya que esta aplicacion luego de conectarse
al port 2510 abre otros puertos de manera dinámica:

He probado agregar a esta linea -m state --state NEW, ESTABLISHED,
RELATED y tampoco funciona

Cabe aclarar que si hago:

iptables -t nat -A PREROUTING -p tcp -i eth0 -s $LAN -j DNAT --to
192.168.5.1

Ambas aplicaciones funcionan, pero no me sirve porque TODO el trafico es
derivado a 192.168.5.1 y yo solo necesito el 22 y el 2510.

Como debería armar la regla para permitir en primera instanacia los
paquetes al 2510 y luego los que esten relacionados con esa conexión?

Muchas Gracias.



Adjunto log de tcpdump:

19:26:43.457195 IP 192.168.0.21.2022 > 192.168.5.1.2510: S 
658824789:658824789(0) win 65535 <mss 1460,nop,nop,sackOK>
19:26:43.457619 IP 192.168.0.21.2022 > 192.168.5.1.2510: . ack 324745277 
win 65535
19:26:43.458060 IP 192.168.0.21.2022 > 192.168.5.1.2510: P 0:152(152) 
ack 1 win 65535
19:26:43.458820 IP 192.168.0.21.2022 > 192.168.5.1.2510: R 152:152(0) 
ack 21 win 0
19:26:43.460239 IP 192.168.0.21.2023 > 192.168.5.1.1030: S