Eu tenho um roteador DD-WRT com duas sub-redes, 192.168.0.0/24 e 192.168.8.0/24. Este último é usado para uma rede WiFi 'guest'. O tráfego entre as sub-redes é filtrado usando o iptables.
O que eu gostaria de fazer é ativar a impressão da sub-rede convidada, ou seja, permitir o tráfego da porta 631 para 192.168.8.0/24 a 192.168.0.2.
Meus iptables atuais são assim:
iptables -I FORWARD -i br1 -m state --state NEW -j ACCEPT
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -I FORWARD -i br1 -d 'nvram get lan_ipaddr'/'nvram get lan_netmask' -m state --state NEW -j DROP
iptables -I FORWARD -i br1 -p tcp --dport 631 -d 192.168.0.2 -m state --state NEW -j ACCEPT
#iptables -t nat -I POSTROUTING -o br0 -j SNAT --to 'nvram get lan_ipaddr'
iptables -I INPUT -i br1 -m state --state NEW -j DROP
iptables -I INPUT -i br1 -p udp --dport 67 -j ACCEPT
iptables -I INPUT -i br1 -p udp --dport 53 -j ACCEPT
iptables -I INPUT -i br1 -p tcp --dport 53 -j ACCEPT
Quando descomenteço a linha POSTROUTING comentada, parece funcionar. Mas, em seguida, tudo nos logs do servidor (por exemplo, logs HTTP) é exibido como o endereço IP da LAN do roteador (192.168.0.1).
Alguém pode sugerir a melhor maneira de resolver isso? Obrigado.