Hola, buenos dias!

Estoy intentando montar un firewall con Iptables. Este pc a la vez tiene un servicio de cache (SQUID) con dos tarjetas de red. Pongo la configuracion que tengo por ahora y la que me permite navegar a traves de squid y filtrando con squidguard.

iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 10.216.15.0/24 -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

La configuracion que uso es:
eth0 -> 10.216.15.0 (local)
eth1 -> 192.168.1.0 (router)

El problema es que tengo una maquina dentro de la red local que antes hacia de servidor ftp y ahora no se como hacer que funcione. El filezilla server está escuchando en el 21 y el pc tiene ip 10.216.15.25.
Si alguien me puede indicar las reglas para que funcione el servidor FTP y si en el router tengo que abrir el 21 con la IP que tiene eth1?

Muchas gracias!

Algo asi, no estoy 100% seguro pero la idea es que todo lo que venga al purto 21 (del servidor) lo redirigas al IP_OTROPC:21

En el scrtip se especifica:

Se hara pre-routing a todo lo que venga por ETH0 con destino al puerto 21 del tipo de protocolo TCP, se redirijira hacia el puerto 21 del IP_PC_FTP

Hola!!!

Como sugerencia para proteger bien la red y el mismo servidor que tienes, yo dejaria el iptables de esta forma

#!/bin/sh

echo "limpiando reglas"
iptables -F
iptables -t nat -F

echo "DROP"
iptables -P INPUT DROP

echo "Nat"
echo 1 > /proc/sys/net/ipv4/ip_forward

echo "MASQUERADE"
iptables -t nat -A POSTROUTING -s 10.216.15.0/24 -o eth1 -j MASQUERADE

echo "REDIRECT 80 > 3128"
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

echo "ESTABLISHED"
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "20:21"
iptables -A FORWARD -p tcp -s 10.216.15.25 -i eth0 --dport 20:21 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 20:21 -j REDIRECT --to-port 10.216.15.25:20:21


prueba con este script que confeccioné!!

Con esto lo que haces es permitir toda salida el equipo servidor, pero bloqueas toda entrada a la máquina..

Solamente hice forward al 20:21 el cual es para ftp hacia el equipo que tu necesitas y como dijo Diabliyo, se debe aplicar nat hacia el equipo en cuestión...

Prueba con esto y comentas como te anda ahora..

Otra cosa, podrías mostrarnos el archivo de squid??? Ya que ahi también deben especificarse los puertos

Saludos

Hola!
Gracias a los dos por contestar!!
Sobre el último post, al ejecutar el script va todo bien menos la última que dice: iptables v.1.4.4 IP address not permitted :S

Sobre el archivo del SQUID, aqui esta:

cache_mem 200 MB
cache_dir ufs /var/cache/squid 5000 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
visible_hostname localhost
acl all src 0.0.0.0/0.0.0.0
http_port 3128 transparent
http_access allow all
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf

Por cierto! He leido por alli algo de unos modulos a activar para el tema del FTP al estilo modprobe [___]. Me lo confirman?

Saludoos!