# abilitazione al transito
iptables -A FORWARD -s 10.1.1.1 -d 10.9.9.1 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 10.1.1.1 -s 10.9.9.1 -p tcp --sport 22 -m state --state ESTABLISHED  -j ACCEPT

# dnat (intercetta le connessioni da Client a Router stesso e le ridirige a Server)
iptables -t nat -A PREROUTING -i eth2 -s 10.1.1.1 -d 10.1.1.254 -p tcp --dport 22 -j DNAT --to-dest 10.9.9.1

# snat (espone le connessioni a Server come se venissero da Router stesso)
iptables -t nat -A POSTROUTING -o eth1 -s 10.1.1.1 -d 10.9.9.1 -j SNAT --to-source 10.9.9.254