Como posso implementar esta configuração do iptables com 2 gateways?

1

Estou tentando configurar um hardware de firewall para proteger meu nas.

O que eu quero alcançar é melhor explicado com esta imagem abaixo:

esquema de rede

Enquanto a configuração real do iptables é a seguinte:

*nat
:PREROUTING ACCEPT
:INPUT ACCEPT
:OUTPUT ACCEPT
:POSTROUTING ACCEPT
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 873 -j DNAT --to 192.168.1.2:873
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT

*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -d 192.168.1.2 -p tcp -m tcp --dport 873 -m conntrack --ctstate NEW -j ACCEPT
COMMIT

Esta configuração até agora deve bloquear todas as portas com a exclusão dos 22 que são aceitos e os 873 que são encaminhados para o nas.

O que eu sinto falta é a parte da VPN. Eu gostaria de ter todo o tráfego do ham0 sendo encaminhado diretamente para o nas, mas também lidar com as respostas (E SOMENTE AS RESPOSTAS) do NAS de volta para o ham0 sem erro na interface ppp0.

Como posso conseguir isso? Quais regras eu posso adicionar?

Eu acho que deveria ser algo como:

-A PREROUTING -i ham0 -p tcp -m tcp --dport 22 -j DNAT --to 192.168.1.2:22
-A PREROUTING -i ham0 -p tcp -m tcp --dport 80 -j DNAT --to 192.168.1.2:80
-A PREROUTING -i ham0 -p tcp -m tcp --dport 443 -j DNAT --to 192.168.1.2:443

Mas posso adicionar um:

-A POSTROUTING -o ham0 -j MASQUERADE

também? Eu temo que esteja faltando alguma coisa, como eu posso dizer ao iptables que o tráfego de entrada da eth1 APENAS em caso de resposta às coisas recebidas do ham0 inicialmente tem que passar por ham0 ..

Espero ter sido claro o suficiente:)

    
por user3450548 15.01.2016 / 18:58

0 respostas