como desvio una ip 192.168.2.1 hacia otra ip 10.2.214.1 internamente LAN con IPTABLES

Forums: 

necesito ayuda
llevo varios dias buscando en google y no le hayo como hacerle
tengo una red con dos subredes conectado infinitum ADSL, de la siguiente manera

PC-SERVER con tres placas de red

eth0---->10.2.214.2
ADSLtelmex----->eth1
eth2---->192.168.2.1

la eth0 se conecta aun SWICHT que es la subred 10.2.214.X aqui hay un servidor de mysql
en la 10.2.214.1 esta red es administrativa y todos los de esta red se conectan al server
de mysql sin ningun problema

la eth2 se conecta a un SWICHT que es la subred 192.168.2.X esta subred funciona muy bien
con internet, bien ahora quiero que se conecte al servidor 10.2.214.1 que forzosamente tiene que pasar en la eth0 (ip 10.2.214.2), mi rutas estan asi

>route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.2.214.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.1.254 0.0.0.0 UG 1 0 0 eth1

si voz se da cuenta solo tengo el gateway a 192.168.1.254
es por donde sale hacia internet

cuando agrego algun cambio a mi tabla de ruteo ya sea del a subred eth0 a la eth2
o bien de la eth2 a la eth0 se bloquea mi conexion a internet

que hice leyendo he investigando esto es posible con el iptables, pero no he logrado

aplique la siguiente regla
iptables -A FORWARD -i eth2 -o eth0 -p tcp --dport 3306 -m state \
--state NEW,ESTABLISHED -j ACCEPT

aqui le damos acceso en ambos lados de la subred al puerto 3306
pero la siguiente linea desvia el puerto hacia la ip

iptables -t nat -a PREROUTING -i eth2 -o eth0 -p tcp -dport 3306 \
-j DNAT -to 10.2.214.1:3306

es para que desde internet se conecten a mi servidor y yo no quiero esto
use el POSTROUTING

iptables -t nat -A POSTROUTING -p tcp --sport 3306 -o eth2 -s 192.168.2.0/24 \
-j SNAT --to-source 10.2.214.1
y el OUTPUT
iptables -A OUTPUT -t nat -p tcp --dport 3306 -j DNAT --to 10.2.214.1:3306

y no jala :) :) :)
bien aqui despliego mi pequeño script
de antemano Gracias por su colaboracion

iptables -t filter -F
iptables -t nat -F
#limpiar las cadena
iptables -P INPUT DROP
#por default bloquear todo

#iptables -N FLOOD
#iptables -A FLOOD -m limit --limit 2/s --limit-burst 5 -j RETURN
#iptables -A FLOOD -j DROP
iptables -A INPUT -i ! eth1 -j ACCEPT
#usar el lo y la red local solo
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j FLOOD

iptables -A FORWARD -i eth2 -o eth0 -p tcp --dport 3306 -m state \
--state NEW,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp --sport 3306 -o eth2 -s 192.168.2.0/24 \
-j SNAT --to-source 10.2.214.1

iptables -A OUTPUT -t nat -p tcp --dport 3306 -j DNAT --to 10.2.214.1:3306

iptables -t nat -A POSTROUTING -s 10.2.214.0/24 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth1 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128

Espero su ayuda
Saludos

desviar ip deuna subred a otra subred con iptables "Solucionado"

Gracias Amigos
Solucionado
Gracias Amigos por su valiosa intervencion oportuna
encontre un link
y ya le entendi mejor
http://lists.netfilter.org/pipermail/netfilter/2007-January/067880.html

lo que pasa, que se tiene que hacer un MASQUERADE a las interfaces de la subred
osea enmascarar la conexion de ambas subred
despues todo aquello que llega al server 10.2.214.2 a la interface
eth0 que lo reenvie al server mysql 10.2.214.1 al puerto 3306
y posteriormente en el server local todo lo que llega por el puerto 3306
que lo reenvie al server mysql y listo.
aqui esta las lineas.
iptables --table nat -A POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --table nat -A POSTROUTING --out-interface eth2 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 3306 -j DNAT --to 10.2.214.1
iptables -t nat -A OUTPUT -o lo -p tcp --dport 3306 -j DNAT --to 10.2.214.1:3306

Gracias amigos Muchas gracias
Saludos
Jaguar Negro

Hola amigo

Enviado por NEO en

Imagen de NEO

Hola amigo jaguarnegro!
Sabes que yo vi tu pregunta hace días, y la verdad como creo que les debe haber pasado a casi todos los que lo leyeron.. Lo abrí y era TAAAAAAAAAN largo que no lo leí y lo ignoré.
Era suficiente, en realidad con poner.. "como desvio una ip 192.168.2.1 hacia otra ip 10.2.214.1 internamente LAN con IPTABLES" y nada mas.. por que tambien la respuesta es una línea nada mas.

Tenías la oportunidad de ver en el link de BUSCAR, ya que se ha posteado varias veces y todo el mundo a respondido a esa pregunta en el pasado.

Saludos cordiales,
NEO

- - - - - -
www.bodegadelmp3.com