Estou tentando configurar um hardware de firewall para proteger meu nas.
O que eu quero alcançar é melhor explicado com esta imagem abaixo:
Enquanto a configuração real do iptables é a seguinte:
*nat
:PREROUTING ACCEPT
:INPUT ACCEPT
:OUTPUT ACCEPT
:POSTROUTING ACCEPT
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 873 -j DNAT --to 192.168.1.2:873
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -d 192.168.1.2 -p tcp -m tcp --dport 873 -m conntrack --ctstate NEW -j ACCEPT
COMMIT
Esta configuração até agora deve bloquear todas as portas com a exclusão dos 22 que são aceitos e os 873 que são encaminhados para o nas.
O que eu sinto falta é a parte da VPN. Eu gostaria de ter todo o tráfego do ham0 sendo encaminhado diretamente para o nas, mas também lidar com as respostas (E SOMENTE AS RESPOSTAS) do NAS de volta para o ham0 sem erro na interface ppp0.
Como posso conseguir isso? Quais regras eu posso adicionar?
Eu acho que deveria ser algo como:
-A PREROUTING -i ham0 -p tcp -m tcp --dport 22 -j DNAT --to 192.168.1.2:22
-A PREROUTING -i ham0 -p tcp -m tcp --dport 80 -j DNAT --to 192.168.1.2:80
-A PREROUTING -i ham0 -p tcp -m tcp --dport 443 -j DNAT --to 192.168.1.2:443
Mas posso adicionar um:
-A POSTROUTING -o ham0 -j MASQUERADE
também? Eu temo que esteja faltando alguma coisa, como eu posso dizer ao iptables que o tráfego de entrada da eth1 APENAS em caso de resposta às coisas recebidas do ham0 inicialmente tem que passar por ham0 ..
Espero ter sido claro o suficiente:)