ayuda con iptables

[Felipe Alfaro Solana]

>  tengo un ruteador cisco tras de un firewall linux, el ruteador dede
> establecer una VPN con las siguientes caracteristicas,
>
>  ipsec (protocolo 50) udp 500
>
>  he establecido las siguientes  reglas de redireccionamiento.
>
>  en esta primera regla me marca un error de iptables v1.3.3: Unknown arg
> `--dport'
>  /sbin/iptables -t nat -A PREROUTING -i eth1 -p 50 -d 200.x.x.x --dport 500
> -j DNAT --to-destination 192.168.x.x
>
>  en esta segunda no me marca ningun error pero no hace bien la conexion
>  /sbin/iptables -t nat -A PREROUTING -i eth1 -p UDP -d 200.x.x.x --dport 500
> -j DNAT --to-destination 192.168.x.x
>
>  si alguien me pudiese atyudar a definir bien como debe ir la regla se los
> agradeceria mucho.

Veo que estás intentando configurar una VPN IPSec, pero el problema
con IPSec es que, a no ser que tu encaminador Cisco soporte NAT-T (NAT
Traversal), no podrás utilizar NAT.

Es decir, si tu encaminador Cisco no soporta NAT-T, tendrás que
ingeniártelas para que el tráfico IPSec llege al encaminador Cisco, a
través del firewall Linux, sin sufrir ninguna modificación la cabecera
IP y todo su contenido debe permanecer inalterada durante el
transporte). Básicamente esto significa que el encaminador Cisco
deberá usar una dirección IP pública para configurar la VPN IPSec.

Esto es consecuencia de AH y ESP, los dos subprotocolos de la suite
IPSec. Ambos implementan integridad y autentificación, por lo que
cualquier modificación en la cabecera IP o su contenido provoca que el
datagrama se considere inválido y se descarta. Las reglas que estás
utizando modifican la dirección IP de destino, lo que invalida
automáticamente los datagramas.