automatizando firewall iptables

outra duvida moçada, vamos ver oq vcs me falam
supondo que eu tenha uma rede relativamente grande e complexa, usando a mesma range 192.168.0.0/24

digamos que a maioria dos departamentos (comercial, mkt, rh, etc) use a internet apenas por proxy squid, não tendo acesso a mais nada

o pessoal da parte financeira e contabil, tem varios programinhas do governo e bancos que usam porta doidas (não convencionais) e diversas, necessitando assim de forward especial

a galera de TI, os fodões, precisam ter acesso total, liberadão

bom, isto posto, pra não ficar com 1 firewall gigantesco ter que ficar declarando:

$iptables -A FORWARD -p tcp -s $cpd1 -d $mundo --dport 3389 -j ACCEPT
$iptables -A FORWARD -p tcp -d $cpd1 -s $mundo --sport 3389 -j ACCEPT
$iptables -A FORWARD -p tcp -s $cpd2 -d $mundo --dport 3389 -j ACCEPT
$iptables -A FORWARD -p tcp -d $cpd2 -s $mundo --sport 3389 -j ACCEPT
$iptables -A FORWARD -p tcp -s $cpd3 -d $mundo --dport 3389 -j ACCEPT
$iptables -A FORWARD -p tcp -d $cpd3 -s $mundo --sport 3389 -j ACCEPT]

e por ae vai, como ficaria um script com 1 loop pra isto? tipow..
no inicio do script declarar toda maquina=ip_x e durante um while ou algo assim, ele executar as regrinhas pra determinadas portas? tem como ?

já que coloco a cabecinha, deixa por as bolas,eheheh
a minha ideia eh a seguinte (sei que ja existe algo neste sentindo)

fazer o php, ou algo do genero, onde o usuario de autentica um unica vez e fica com 1 popup

isto, dispara um processo no firewall, que procura num banco de dados quem eh o usuario e libera pro ip q ele esta no momento as portas que ele tem acesso (previamente cadastradas)

trabaharia com proxy transparente, pra nao ter problemas com varios programas q nao tem suporte para autenticacao, sendo que o trafego seria redirecionado, como de costume. a porta do proxy, ficaria fechado, ate a autenticacao, ou seja, alem de liberar o input no proxy, permitiria os forward

tudo, eh claro, ficaria logado num banco de dados, pra posterior consulta e relatorios

-----------------------------------------------------

pathconfig=/etc
$iptables=/usr/sbin/iptables

for porta in $(cat $pathconfig/portas.conf| grep -v "^#") ; do
$iptables -A FORWARD -p tcp -d $cpd3 -s $mundo --sport $porta -j ACCEPT
done
#EOF-----------------------------------------------------


e no /etc/portas.conf :
#---------------------------------------------
# vc pode colocar comentarios nesse arquivo precedidos por #
110
80
25
3397
#EOF----------------------------------------

pathconfig=/etc
$iptables=/usr/sbin/iptables

for porta in $(cat $pathconfig/portas.conf| grep -v "^#") ; do
cpd3=$(echo $porta | cut -d"," -f1)
mundo=$(echo $porta | cut -d"," -f2)
sporta=$(echo $porta | cut -d"," -f3)
$iptables -A FORWARD -p tcp -d $cpd3 -s $mundo --sport $sporta -j ACCEPT
done
#EOF-----------------------------------------------------


e no /etc/portas.conf :
#---------------------------------------------
# vc pode colocar comentarios nesse arquivo precedidos por #
192.168.0.2,10.0.0.2,110
192.168.0.3,10.0.0.3,80
192.168.0.4,10.0.0.4,25
192.168.0.5,10.0.0.5,3397
#EOF----------------------------------------