tengo montado un servidor linux haciendo nat y port forwarding ya tengo todos los puertos localizados de mi servidor con camaras de vigilancia que esta montando en una pc con windows tienen 16 camaras pero el programa se comunica via web ahora usa 6 puertos diferentes ya los tengo ubicado pero me surge un detalle en mi red tengo el squid solo para proxy cache pero tambien pueden salir via nat lo que pasa es que filtro contenidos con el squid y no quiero que se salgan del squid y por eso aplique una regla del iptables donde deniego el acceso al puerto 80 FORWARD para toda la red, hasta ahi todo va bien pero como tengo web en el servidor no puedo direccionar el puerto 80 al ip de la maquina con las camaras por lo tanto hago un PREROUTING del 81 al 80 de la maquina interna ahi va todo bien pero cuando tengo que cargar la web del servidor de camaras no levanta ya habilite el FORWARD del puerto 80 a esa maquina pero el programa carga la web pero me da error el software activex cuando cancelo la regla de bloquear a todas las maquinas el puerto 80 si carga perfectamente las camaras porque no puedo decirle al iptables que solo le deje el puerto 80 a esa maquina especificamente sin que falle a continuacion les muestro mi iptables.
mi tabla nat es esta
-A PREROUTING -i eth0 -p tcp -m tcp --dport 3550 -j DNAT --to-destination 192.168.1.12:3550
-A PREROUTING -i eth0 -p tcp -m tcp --dport 81 -j DNAT --to-destination 192.168.1.12:80
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5066 -j DNAT --to-destination 192.168.1.12:5066
-A PREROUTING -i eth0 -p tcp -m tcp --dport 5550 -j DNAT --to-destination 192.168.1.12:5550
-A PREROUTING -i eth0 -p tcp -m tcp --dport 6550 -j DNAT --to-destination 192.168.1.12:6550
-A PREROUTING -i eth0 -p tcp -m tcp --dport 4550 -j DNAT --to-destination 192.168.1.12:4550
-A PREROUTING -i eth0 -p tcp -m tcp --dport 3650 -j DNAT --to-destination 192.168.1.12:3650
-A PREROUTING -i eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.12:3389
-A PREROUTING -i eth0 -p tcp -m tcp --dport 2967 -j DNAT --to-destination 192.168.1.12:2967
-A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.xxx

y las demas estan aqui.

-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 1:1024 -j DROP
-A FORWARD -s 192.168.1.21 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s 192.168.1.12 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 80 -j DROP

y no funciona ahi solo que quite la ultima linea del forward donde deniego toda utilizacion del puerto 80 a toda la red funciona que puede pasar ahi. gracias por su apreciado tiempo y dedicar un tiempito a mi problema salud a todos los que los rodean. gracias

¿ Por que no utilizas http://www.shorewall.net ? es más facil, que trabajar con iptables directamente.

¿Activaste la función de reenvío de paquetes para IPv4? Edita /etc/sysctl.conf y reinicia el servicio network.

Estás utilizando esto para hacer tus DNAT:


Prueba con esto otro: