Gracias a blackhold:

Escenario:

<code>
[portatil]    [proxy]       [nanostation]
192.168.1.50  192.168.1.2   10.228.172.65
              10.228.172.67 xxx.xxx.xxx.xxx
</code>

Problema:

¿Como llegar desde portátil a nanostation?

Solución:

  * Añadir una ruta a portátil:

  sudo route add -net 10.228.172.0 netmask 255.255.255.0 gw 192.168.1.2

  * Habilitar masquerade en la máquina que tiene dos interfaces de red (proxy):

<code>
#!/bin/sh

# Creamos variables

IPTABLES=/sbin/iptables
DEPMOD=/sbin/depmod
MODPROBE=/sbin/modprobe

# Asignamos intefaces
EXTIF="eth3"
INTIF="eth5"

# Verifica que los módulos del núcleo están bien
$DEPMOD -a

# Carga manualmente el módulo iptables
$MODPROBE ip_tables

#  Éste módulo se carga automáticamente cuando se habilita la 
# funcionalidad MASQ
$MODPROBE ip_conntrack

# Opcional: reenvío de tráfico ftp
$MODPROBE ip_conntrack_ftp


# Opcional: reenvío de tráfico irc
$MODPROBE ip_conntrack_irc

#  Éste módulo se carga automáticamente cuando se habilita la 
# funcionalidad MASQ
$MODPROBE iptable_nat

# Opcional: soporte non-PASV FTP.
$MODPROBE ip_nat_ftp

#CRÍTICO: habilitar redirección IPv4, deshabilitado por defecto
echo "1" > /proc/sys/net/ipv4/ip_forward

# Soporte para ip dinámica
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

# Borrado de reglas de iptables
$IPTABLES -P INPUT ACCEPT
$IPTABLES -F INPUT 
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT 
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD 
$IPTABLES -t nat -F

# Permitir la redirección desde una interfaz a la otra solo de determidas conexiones
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
$IPTABLES -A FORWARD -j LOG

# Habilitar NAT masquerade en la interfaz externa
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
</code>