Qual a necessidade?
Você tem um serviço interno que é publicado para a internet e quer acessar pelo ip da WAN do seu Endian e não pelo ip interno da máquina.
1º – Você deve criar uma regra de DNAT:
Segue o print da regra.
http://tinypic.com/r/33di4jl/5
Agora o “pulo do gato”.
2º – Você tem que criar uma regra de SNAT, para que a máquina de destino consiga responder a requisição, é a mesma ideia de você conseguir acessar uma máquina via redirecionamento que ela esteja sem gateway configurado, você faz um NAT para que a requisição seja feita através de uma máquina da mesma rede onde ela esteja para que ela saiba responder sem precisar de gateway..
http://tinypic.com/view.php?pic=9uazqt&s=5
Explicando a imagem.
Origem: Rede interna.
Destino: Máquina real de destino, a máquina da rede interna.
Porta: Porta de destino igual a da regra de DNAT.
NAT: Ip do Endian que esteja na mesma rede da máquina que tem o serviço que deve ser acessado.
Curiosidade, as regras via cli:
root@laboratorio:~ # iptables-save |grep -i 3389
-A PORTFW -d 172.18.5.218/32 -p tcp -m tcp –dport 3389 -j DNAT –to-destination 192.168.50.150:3389
-A SOURCENAT -s 192.168.50.0/24 -d 192.168.50.150/32 -o br0 -p tcp -m tcp –dport 3389 -j SNAT –to-source 192.168.50.1
-A PORTFWACCESS -d 192.168.50.150/32 -p tcp -m tcp –dport 3389 -j ALLOW
Havia visto várias pessoas perguntando como faria pra fazer acesso há um DNAT de dentro da rede, mas sempre as respostas eram através de DNS, seguindo esses passos você faz o acesso sem alterar nada no DNS.
Qualquer dúvida é só falar.
att,
Diego Pontes.