Buenas tardes como están? Tengo un problema con mi Firewall que no se como resolver... El temas es el siguiente, tengo un firewall con proxy que controla la salida a Internet de los usuarios de la empresa y funciona bien, pero ahora me pidieron que agregue una regla para que desde la red interna se puedan conectar al servicio de mensajería mediante la dirección publica! Osea los notebook estén donde este siempre van a apuntar a la dirección externa.
CONFIGURACION:
Linux centos 5.4
3 placas de red
eth 0 red interna
eth 1 red wi-fi
eth 2 internet (ADSL pppoe)
script iptables
#Borrar reglas anteriores
iptables -F
iptables -X
iptables -Z
iptables -t nat -F #Borramos reglas nat
#Bit de forwardeo
echo 1 > /proc/sys/net/ipv4/ip_forward
#Tabla de ruteo
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.2.1 eth0
route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.2.1 eth0
#Politicas
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
#Permito conexiones entrantes a localhost
iptables -A INPUT -i lo -j ACCEPT #La propia maquina
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 22 -j ACCEPT #Cualquier red a SSH
iptables -A INPUT -p icmp --icmp-type pong -j ACCEPT #Habilito PING
iptables -A INPUT -p icmp --icmp-type ping -j ACCEPT #Habilito Respuesta PING
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 10000 -j ACCEPT #WebMin
#Permito las conecxiones establecidas y relacionadas
iptables -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
#Permitimos puetos de correo, dns y RDP hacia internet.
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp --dport 995 -j ACCEPT
iptables -A FORWARD -p tcp --dport 465 -j ACCEPT
iptables -A FORWARD -p tcp --dport 587 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth0 -j ACCEPT #Permitimos todo el trafico para la tabla de ruteo MPLS
iptables -A FORWARD -p icmp --icmp-type pong -j ACCEPT #Habilito PING
iptables -A FORWARD -p icmp --icmp-type ping -j ACCEPT #Habilito Respuesta PING
iptables -A FORWARD -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT #MSN acepto el puerto y para que realmente fucione habilito en proxy
iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.2.253 -j ACCEPT #Todo Abierto ED
iptables -A FORWARD -s 192.168.1.253 -j ACCEPT #Todo abierto NP
iptables -A FORWARD -i eth0 -o ppp0 -p tcp --sport 3389 -j ACCEPT #Permito la respuesta de interna a internet por el 3389
#iptables -A FORWARD -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
##########################SALIDA A INTERNET#######################################
#Enmascaramos la salida a internet
iptables -t nat -A POSTROUTING -s 10.0.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.2.0/255.255.255.0 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o ppp0 -j MASQUERADE
################################################## ###############################
##########################Red WIFI a LAN desde determinadas MAC###################
#Permitimos conexiones desde determinadas MAC desde WIFI a LAN
#iptables -A FORWARD -i eth1 -m mac --mac-source 00:24:2B:D7:8B:36 -d 192.168.2.0/24 -j ACCEPT
iptables -A FORWARD -i eth1 -m mac --mac-source 00:21:63:cb:57:37 -d 192.168.2.0/24 -j ACCEPT #Toshiba fede WiFi hacia red interna
################################################## ################################
#Forwording de puertos
iptables -A FORWARD -i ppp0 -o eth0 -p tcp --dport 11012 -j ACCEPT
iptables -A FORWARD -p tcp --sport 9090 -j ACCEPT
iptables -A FORWARD -p tcp --sport 5222 -j ACCEPT
iptables -t nat -A PREROUTING -s 0.0.0.0/0 -i ppp0 -p tcp --dport 11012 -j DNAT --to-destination 192.168.2.250:3389
iptables -A FORWARD -i ppp0 -o eth0 -p tcp --dport 11011 -j ACCEPT
iptables -t nat -A PREROUTING -s 0.0.0.0/0 -i ppp0 -p tcp --dport 11011 -j DNAT --to-destination 192.168.2.251:3389
iptables -A FORWARD -i ppp0 -o eth0 -p tcp --dport 11103 -j ACCEPT
iptables -t nat -A PREROUTING -s 0.0.0.0/0 -i ppp0 -p tcp --dport 11103 -j DNAT --to-destination 192.168.2.103:3389
iptables -A FORWARD -i ppp0 -o eth0 -p tcp --dport 11118 -j ACCEPT
iptables -t nat -A PREROUTING -s 0.0.0.0/0 -i ppp0 -p tcp --dport 11118 -j DNAT --to-destination 192.168.2.118:3389
iptables -A FORWARD -i ppp0 -o eth0 -p tcp --dport 9090 -j ACCEPT
iptables -t nat -A PREROUTING -s 0.0.0.0/0 -i ppp0 -p tcp --dport 9090 -j DNAT --to-destination 192.168.2.250:9090
iptables -A FORWARD -i eth0 -o ppp0 -p tcp --dport 5222 -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth0 -p tcp --dport 5222 -j ACCEPT
iptables -t nat -A PREROUTING -s 0.0.0.0/0 -i ppp0 -p tcp --dport 5222 -j DNAT --to-destination 192.168.2.250:5222
iptables -A FORWARD -p tcp --dport 11011 -j ACCEPT
#iptables -A INPUT -j LOG --log-prefix "Alerta IPTABLES-INPUT"
#iptables -A OUTPUT -j LOG --log-prefix "Alerta IPTABLES-OUTPUT"
#iptables -A FORWARD -j LOG --log-prefix "Alerta IPTABLES-FORWARD"
#¿Problemas en Windwows? --------> REBOOT
#¿Problemas en Linux?------------> BE ROOT
Gracias!