Il prerouting va usato se x esempio da internet vuoi che i tuoi servizi (web,ftp,dns) siano raggiungibili..
oppure se vuoi bloccare il traffico delle tue reti verso la rete dei servizi ma far rispondere cmq i servizi usando l'ip del gateway..(forse neanche io ho capito cosa ho scritto
)
Cioe':
iptables –t nat –A PREROUTING –i eth2 –p tcp –s 10.10.10.0/24 -d (indirizzo GW(che tu hai chiamato FW)) –dport 80 –j DNAT –to-destination 10.10.0.3:80
Con questa regola il gateway cambiera l'indirizzo di destinazione alle chiamate alla propria porta 80 con l'indirizzo del server WEB
E' un po' come la tua regola, anche se cmq dovresti mettere le porte seno' tutte le richieste tcp ad ogni porta verra' ridiretta alla porta del server WEB.
Cmq riguardando mi risalta altra roba all'occhio..
iptables –A FORWARD –i eth2 –o eth1 –j dmz_to_lan ( -i eth1 -o eth2)
# Regole per la LAN per ricevere pacchetti di risposta dalla DMZ
iptables –A dmz_to_lan –m state –-state ESTABILISHED, RELATED –d 10.10.10.0/24 –j ACCEPT
iptables –A dmz_to_lan –p tcp –-dport 80 –d 10.10.10.0/24 –j ACCEPT
(questa significa che dalla dmz si puo' accedere ad un web sulla LAN, nn ti dovrebbe servire perche' nn hai servizi sulla lan)
iptables –A dmz_to_lan –p tcp –m multiport –dports 20,21 –d 10.10.10.0/24 –j ACCEPT
iptables –A dmz_to_lan –p tcp –-dport 53 –d 10.10.10.0/24 –j ACCEPT
iptables –A dmz_to_lan –p tcp –-dport imap –d 10.10.10.0/24 –j ACCEPT
(Idem x queste altre)
Ma devi fare tutte le regole senza poter provare se funziona tutto? mi pare ardua.. io nn sono molto fresco di iptables, era meglio se c'era piu' gente che partecipava alla discussione.. Non vorrei magari farti sbagliare