Problema abriendo NAT de iptables para SSH

[Gorka Expósito <gorkalinux@yahoo.es>]

Buenas.

 

Tengo la siguiente configuración:

 

router -> 192.168.1.1/16 (ip interna hacia el debian-iptables)

debian-iptables -> eth0 - 192.168.1.2/16 (hacia el router) y eth2 - 10.0.0.1/16 (hacia la lan de una única máquina de pruebas)

máquina-pruebas -> 10.0.0.46/16 gw 10.0.0.1

 

Lo que quiero es permitir justo las conexiones SSH a la máquina-pruebas desde internet (y que la máquina-pruebas navegue por internet, claro).

 

Este es el script de configuración de iptables:

 

#Destination NAT, envia peticiones 22 al 22 de la IP interna

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-destination 10.0.0.46:22

#Habilito el NAT, permite a la red interna salir a internet

iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/16 -d 0.0.0.0/0 -j MASQUERADE

# Dejo pasar los paquetes ICMP

iptables -A INPUT -i eth0 -p ICMP -j ACCEPT

# Permito conexiones al puerto 22 (SSH)

iptables -A INPUT -i eth0 -p TCP --dport 22 -m state --state NEW -j ACCEPT

# Acepto paquetes de conexiones ya establecidas

iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT

# Rechazamos paquetes de conexiones nuevas

iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP

# Rechazamos paquetes de forwarding de conexiones no establecidas

#iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP

 

Si descomento la última línea funciona, si no lo hago no funciona.

¿Qué tengo mal? Creo que la última línea aporta seguridad. ¿Cómo puedo conseguir lo que busco sin perder seguridad?

Gracias.