Reprise du message précédent :
-----------
En fait chez moi, j'autorise tout de LAN vers WEB (je sais c'est moins secure mais je vais installer des firewall applicatif ^^ , j'ai pas envie de filter ce qui sort avec iptables... ^^ trop la flemme)
 
Du coup j'ai pas tout c'est probleme...
 
Dans ton cas,
 
LAN VERS SERVEUR SSH : Tout ce qui rentre (INPUT) sur l'interface (-i eth1 si c'est la carte reseau LAN) dont le protocole est tcp(-p tcp) sur le port 22 (--dport 22) dont la connexion est etablie, nouvelle ou associé (-m state --state !INVALID) tu l'acceptes (-j ACCEPT)
 
WEB VERS SERVEUR SSH : Tout ce qui rentre (INPUT) sur l'interface (-i eth0 si c'est la carte reseau WAN) dont le protocole est tcp(-p tcp) sur le port 22 (--dport 22) dont la connexion est etablie, nouvelle ou associé (-m state --state !INVALID) tu l'acceptes (-j ACCEPT)
 
WEB VERS SERVEUR SSH PAT alors: Tout ce qui rentre dans la table nat (-t nat) sur la pate (-A PREROUTING)sur l'interface (-i eth0 si c'est la carte reseau WAN) dont le protocole est tcp(-p tcp) sur le port 222 (--dport 222) dont la connexion est etablie, nouvelle ou associé (-m state --state !INVALID) tu le translates vers le port 22 (-j DNAT --to-destination 192.168.0.1:22
 
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 222 -m state --state !INVALID -j DNAT --to-destination 192.168.0.1:222  
 
Essaye avec ça ,ouvrir le port 222 avec un  
 
iptables -A INPUT -i eth0 -p tcp --dport 222 -m state --state !INVALID -j ACCEPT
 
---
Perso, je prefere utilisé -i eth1 au lieu de -d $ADRESSE IP

Ya plusieurs fautes dans ton truc
Dans la dernière partie, dans le texte tu met postrouting et dans la ligne tu met prerouting, c'est effectivement prerouting. Après tu met eth0 l'intervface wan dans la ligne tu met eth1, donc si on se conforme à ce que tu dis c'est bien eth0.
Ensuit si tu translate le port, rien sur la machine qui arrive sur eth0 ne pourra arriver sur le port 222 donc ton iptables en input ne sert à rien, par contre sur foward oui !
 
Après il n'y a pas de préférences à utiliser -i ou -d c'est complètement différent. Perso mes règles sont réglées au petit oignons et je spécifies bien quelles ip sont sur quelle interface etc. C'est plus précis.

OUSP desolé je corrige ...la fatigue  
 
Apres oui tu peux vraiment spécifié aussi les flags etc... les états est tout...  
apres c'est une question de préférence pour celui qui n'est pas aux petits oignons comme tu dit
 
je me casse pas les pieds avec les adresses IP (c'est un choix )
Ceci dit moi je parle pour chez moi en entreprise j'ai fait appel carrement à une entreprise externe qui me gere la secu ^^ pas que ça à faire (et c'est dommage)
 

Wow il faut que j'arrête avec les smileys !  
(par contre rien à voir avec le sujet, mais quand je réedite mon message il me reprend toujours que le premier message, et si je fait des modifications et que je réedite  ,j'ai toujours le premier message!)