Mis observaciones:
echo 1 > /proc/sys/net/ipv4/ip_forward
Personalmente prefiero activar el bit de forward via sysctl:
sysctl -w net.ipv4.ip_forward=1
De hecho, puedes editar el archivo /etc/sysctl.conf y poner alli ese
valor, asi no hay que declararlo en un script.
iptables -A FORWARD -i lo -o -eth0 -j ACCEPT
Esta regla me parece innecesaria, la cadena FORWARD es para los
paquetes que pasan por el cortafuegos pero no que se originan en el o
destinan a el.
No veo declaraciones para la cadena OUTPUT salvo para conexiones
establecidas y relacionadas.
Es decir, tu cortafuegos en si no tendra acceso a ninguna parte, no se
si realmente es eso lo que deseas.
iptables -A INPUT -s 192.168.56.0/24 -i eth1 -p tcp --dport 22 -j
ACCEPT
Yo adicionalmente limitaría el estado a las conexiones nuevas y si te
conectas siempre desde un mismo equipo anclaria la regla a su mac.
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
No entiendo el propósito de habilitar este enmascaramiento si no vas a
acceder a tu WAN desde tu LAN.
Yo agregaría algunas reglas de trazas, mediante los destinos ULOG o
NFLOG, depende del sistema.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
