Que tipo de dispositivo você tem para um roteador? Você tem acesso ao shell?
Eu tive que ajudar alguém a ter acesso total à sua caixa da internet. Não consegui encontrar uma opção na interface do usuário da web do roteador (executando o Tomato), então apliquei as alterações diretamente e salvei minhas alterações em / etc / iptables . Essas alterações seriam apagadas quando a configuração fosse alterada, embora isso possa não ser um problema, dependendo da sua opção de roteador.
A regra SNAT faz o pacote parecer vir do seu endereço local (censurado a 1.1.1.1 neste caso) quando o pacote deixa sua rede pela Internet. Muitas distribuições de roteadores Linux gostam de implementar seu encaminhamento de porta com SNAT em vez da regra MASQUERADE que pode ser encontrada por padrão.
iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o vlan1 -j SNAT --to-source 1.1.1.1
Quando alguém de fora tenta se conectar ao seu IP público, a conexão é enviada para a máquina local (192.168.0.123). Antes de chegar à máquina, ela deve primeiro ser aceita pela cadeia FORWARD.
iptables -t nat -A PREROUTING -d 1.1.1.1 -j DNAT --to-destination 192.168.0.123
Se isso for aceito, encaminhado para a máquina local.
iptables -A FORWARD -d 192.168.0.123 -j ACCEPT
Para o seu exemplo do honeypot, talvez você queira uma aceitação global, como eu postei acima, embora, no caso de uso, eu quisesse restringir o acesso a um IP confiável conhecido, usando isso:
iptables -A FORWARD -d 192.168.0.123 -s 2.2.2.2 -j ACCEPT
Se você permitir que absolutamente qualquer pessoa se conecte ao seu local, eu a colocaria em um domínio de sub-rede / colisão completamente separado de seus computadores normais e faria com que todas as barras iptables
da configuração acessassem esse domínio.