Hola lista tengo un problema con iptables (otra vez) el asunto es que estoy haciendo una DMZ, necesito habrir todos los puertos de entrada a la DMZ pero no de salida, es decir por ejemplo el puerto 22 para SSH necesito abrir el puerto para que todas las maquinas de la LAN puedan entrar a la DMZ por el 22 pero una vez en la DMZ no puedan hacer SSH a ninguna maquina de la LAN ni de internet el problema es que no se puede establecer la conexion, tengo dos subredes una 172 y una 192 en la la DMZ tiene ip's tipo 172, cuando una maquina de la red 192 intenta entrar no puede se queda pasmado y despues de un tiempo dice connection time out, pero las maquinas de la red 172 intentan conectarse y les pide la contraseña y después de un tiempo (como 5 minutos mas o menos) se conecta pero es terriblemente lenta encerio haces un top y se tarda como 1 minutos en escribir cada letra y luego otros 5 minutos en desplegar el contenido lo curioso es que tengo una vpn implementada en el gw de la DMZ y me conecto desde mi casa donde tengo una conexión de 2 mb (no es mucho a mi parecer) y se conecta y trabaja bien en comparación de cuando me conecto a una de las maquinas de la LAN, no entiendo si es de verdad el tiempo por que cuando abro el SSH de los dos lados es decir que se pueden conectar la DMZ hacia la LAN y desde la LAN a la DMZ trabaja bien la conexión y no es para nada lenta para abrir el puerto en una sola direccion utilice el modulo state de iptables según yo están bien mis reglas, pero no se que le pasa a mi iptables las reglas que tengo son estas.
# Generated by iptables-save v1.3.5 on Wed Aug 25 13:20:40 2010 *nat :PREROUTING ACCEPT [21:1945] :POSTROUTING ACCEPT [2:216] :OUTPUT ACCEPT [2:327] -A POSTROUTING -o eth0 -j MASQUERADE COMMIT # Completed on Wed Aug 25 13:20:40 2010 *filter :INPUT ACCEPT [183:22970] :FORWARD DROP [18:1634] :OUTPUT ACCEPT [174:19060] -A FORWARD -s 172.26.2.0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -s 172.26.1.0/24 -j ACCEPT -A FORWARD -s 10.8.0.0/24 -j ACCEPT -A FORWARD -s 192.168.1.0/24 -j ACCEPT COMMIT
aun no esta terminado pero quiero arreglar el problema del puerto 22 el modulo state lo vie en esta pagina: http://www.lanux.org.ar/2007/11/24/iptables-parte-2/
Espero que alguien me pueda ayudar de ante mano muchas gracias y saludos.