He probado reglas INPUT como desactivar el protocolo icmp para no poder hacer pings por ejemplo, y si que me funciona. No lo entiendo. Os paso mi fichero a ver si veis algo raro. internet---router--- (eth0) firewall (eth1) ---- LAN (65.25.125.96/27) lo que quiero es que cualquier entrada por el puerto 81 se redirige a la maquina interna 65.25.125.98:81 ahi va!!!! #SCRIPT DE IPTABLES echo -n Aplicando Reglas del Firewall #FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F #Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT #Empezamos a filtrar #eth0 es la interfaz conectada a internet #eth1 es la interfaz conectada a la red ############################## #REDIRECCIONES #Todo lo que venga del exterior y vaya al puerto 81 lo redirigimos a una maquina interna iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 81 -j DNAT --to 65.25.125.98:81 ############################## iptables -A INPUT -s 65.25.125.96/27 -i eth1 -j ACCEPT iptables -A INPUT -s 0.0.0.0/0 -i eth0 -j ACCEPT # #Abrimos el acceso a puerto de correo iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT #Abrimos el pop3 iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT #Filtramos el acceso de la red local al exterior. A los paquetes que no van dirigidos al #propio firewall se les aplica FORWARD #Aceptamos que vayan a puertos 80 y 81 iptables -A FORWARD -s 65.25.125.96/27 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -s 65.25.125.96/27 -i eth1 -p tcp --dport 81 -j ACCEPT #iptables -A FORWARD -s 0.0.0.0/0 -i eth0 -p tcp --dport 81 -j ACCEPT #Aceptamos que vayan a puertos https iptables -A FORWARD -s 65.25.125.96/27 -i eth1 -p tcp --dport 443 -j ACCEPT #Aceptamos que consulten los DNS iptables -A FORWARD -s 65.25.125.96/27 -i eth1 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s 65.25.125.96/27 -i eth1 -p udp --dport 53 -j ACCEPT #Emmascaramiento de la red local #y activamos el bit de forwarding (imprescindible!!) iptables --append FORWARD --in-interface eth1 -j ACCEPT iptables -t nat -A POSTROUTING -s 65.25.125.96/27 -o eth0 -j MASQUERADE iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward #Cerramos accesos indeseados del exterior #faltan cerrar puertos iptables -A INPUT -p icmp -j DROP #iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP echo "........... OK . Verifique lo que se aplica con: #iptables -L -n# o #iptables -t nat -L#"