#Destination NAT, envia peticiones 22 al 22 de la IP interna
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-destination 10.0.0.46:22
#Habilito el NAT, permite a la red interna salir a internet
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/16 -d 0.0.0.0/0 -j MASQUERADE
# Dejo pasar los paquetes ICMP
iptables -A INPUT -i eth0 -p ICMP -j ACCEPT
# Permito conexiones al puerto 22 (SSH)
iptables -A INPUT -i eth0 -p TCP --dport 22 -m state --state NEW -j ACCEPT
# Acepto paquetes de conexiones ya establecidas
iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT
# Rechazamos paquetes de conexiones nuevas
iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP
# Rechazamos paquetes de forwarding de conexiones no establecidas
#iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP
Si descomento la última línea funciona, si no lo hago no funciona.
¿Qué tengo mal? Creo que la última línea aporta seguridad. ¿Cómo puedo conseguir lo que busco sin perder seguridad?
Gracias.