Запрос HTTP/SSH, не проходящий через некоторые правила iptables

У меня есть присвоение, чтобы сделать использование iptables для создания ряда правил. Используя marionnet, мы моделируем следующую сеть:

То, что мы хотим, здесь должен избежать "intrus" от способности взаимодействовать с LAN сеть, в которой соединен "intrus", находится в интерфейсе eth2, и мы предполагаем, что любым другим интерфейсом является LAN, с которой мы хотим предотвратить "intrus" от взаимодействия. Я провел часы, пытаясь выяснить, почему мой подшипник не делает, к какому мы хотим и попытка различных заказов или методов, но ничто не удалось, таким образом, я предполагаю, что неправильно понимаю что-то. m1 и "intrus" имеют апачское выполнение сервера, и m2 имеют выполнение ssh

Эти 4 поведения, которые мы хотим реализовать с правилами, следующие:

1. intrus не может получить доступ к частным сетям
2. любой компьютер от одной из частных сетей, подключенных с routeur может получить доступ intrusвеб-сервер
3. весь запрос к intrus будет скрыт как прибывающий из routeur
4. intrus может быть клиент к апачскому серверу m1 и ssh m2, но при размышлении этого routeur хост тех сервисов, имеющих в виду это routeur его единственный поставщик услуг.

Вот мои правила в порядке, я добавляю их:

1. iptables -A FORWARD -i eth2 -m state --state NEW,RELATED -j DROP
2. iptables -A FORWARD -o eth2 -p tcp --dport 80 -m state --state NEW,RELATED -j ACCEPT
3. iptables -t nat -A POSTROUTING -o eth2 -j SNAT --to 145.12.0.53

4. Эта группа:

   iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1
   iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 22 -j DNAT --to-destination 192.168.1.2
   

Если я помню правильно, порядок похож на груду, сначала приезжайте в последний раз обслуживаемые, который является, почему правило (1) является первым. С этим набором LAN может получить доступ intrusапачский сервер, но intrus не может получить доступ к сервисам от LAN при вызове их через routeur. Если я изменяю первое правило на простое iptables -A FORWARD -i eth2 -j DROP затем m1 не может получить доступ intrusвеб-сервер, и я даже не понимаю, как эти две версии так отличаются. Мое предположение - то, что те, которые возвращают сигналы, не собраны ни одним из правил и уничтожаются первым правилом, но я не добираюсь почему.

Так, после многих часов, ища один, я прошу Вашу справку и любого, который может, по крайней мере, объяснить меня что-то, что похоже, что я не разобрался, имеют мою благодарность заранее