iptables regras para o firewall “virtual wire”

Meus sistemas residem em uma rede com todos os endereços IP públicos. Eu preciso firewall minha sub-rede particular sem o uso de MASQUERADE. Eu vi essa configuração conhecida como um firewall "virtual wire".

Minha configuração atual: sub-rede interna | roteador | resto da instituição | internet

Configuração necessária: sub-rede interna | firewall | roteador | resto da instituição | internet

O firewall tem duas interfaces físicas. Eu não fui capaz de construir um conjunto de regras iptables que não requerem MASQUERADING. Endereços Ip que conheço e posso usar: xxx.123.68.0 / 24

roteador: xxx.123.68.1

firewall eth0 (externo): xxx.123.68.2

firewall eth1 (interior): xxx.123.68.3

resto de endereços são para sistemas internos

Eu construí as regras INPUT e OUTPUT para permitir conexão com o firewall para funções de gerenciamento, mas não obtive sucesso com as regras de encadeamento FORWARD.

A política padrão no FORWARD é ACCEPT

Logging ativado para ver se algum tráfego está fluindo, mas não há entradas no arquivo de log. Eu pensei que essas regras deveriam permitir tráfego de saída e retornar tráfego

iptables -A FORWARD -p tcp -i eth1 -o eth0 -j ACCEPT

iptables -A FORWARD -p tcp -i eth0 -o eth1 -m estado - estado ESTABELECIDO, RELACIONADO -j ACEITAR

O que estou perdendo?