ADSL e redirecionamento de portas

[NightMareCBA]

Pessoal,

Sei quem existe um monte de mensagens com dúvidas/problemas parecidos com esse meu, aqui no fórum. Já li grande parte delas, mais não consegui resolver o meu problema.
Assim, peço que quem tiver um tempinho pra me ajudar, me passe uma "receita de bolo" para solução.

Distro: Debian 3.1 (sarge)
Kernel: 2.4
Iptables: 1.3.6
eth1: 10.1.1.2 (ligado no router)
eth0: 192.168.254.1 (ligado na rede interna - hub)
IP Router: 10.1.1.1
Router: D-Link DSL 500G
ADSL: IP Dinamico

+------+ +----------+ +------------+ +--------------+
| ADSL |==| DSL 500G |==| Linux |==| Rede Interna |
+------+ +----------+ +------------+ +--------------+
eth1 eth0

Da forma que está hoje, todas as maquinas da rede interna conseguem navegar, usar msn, skype, etc.
Estou usando as seguintes regras:
--------------------------------------------
modprobe iptable_nat
iptables -F
iptables -A FORWARD -m unclean -j DROP
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -p tcp --syn -s 192.168.254.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
--------------------------------------------

O router está com o DMZ habilitado, jogando tudo para 10.1.1.2.

Preciso que:
1. todas as maquinas internas acesse tudo pra fora (www, ftp, msn, skype, etc);
2. que as requisições que chegarem no ip da adsl (externo) na porta:
61255 vá para a maquina interna 192.168.254.88, na porta 3389;
61256 vá para a maquina interna 192.168.254.89, na porta 3389;
61257 vá para a maquina interna 192.168.254.90, na porta 3389;
62000 vá para o router (10.1.1.1), na porta 80;
3. Habilitar o acesso ssh pelo ip externo (adsl).

Ou seja, preciso que seja acessado o WTS de maquinas da rede interna, pela ADSL. Escolhi essas portas pq tenho certeza que estão abertas na ADSL.

Meu conhecimento é bem limitado, por isso quanto mais detalhado puderem me passar, melhor.

Ficarei muito grato por toda ajuda.

[...]’s

Rodrigo

[zenun]

Receitinha de bolo...
Bom... isso sempre é a saida mais facil, mas concerteza nunca é a melhor forma de você aprender alguma coisa!

Vou te passar aqui um comando para você fazer o que quer com o iptables:

Código :

[FONT=Courier New] iptables -t nat -A PREROUTING -d $wan_ip_address -p $protocol --dport $ext_port -j DNAT --to-destination $local_addr:$local_port
 
iptables -t filter -A FORWARD -d $local_addr -p $protocol --dport $local_port -j ACCEPT[/FONT]

O que este comando ai esta se propondo a fazer é o que vier de requisição para o endereço do seu linux na interface WAN dele, na sua eth1, com o protocolo especifico e em uma porta especifica mande para o endereço e portas especificos.

A segunda regra estará permitindo esse trafego ocorrer, caso sua chain FORWARD esteja com politica padrão em DROP!

Habilitar o acesso ssh pelo ADSL usando a porta padrão (22) não vai rolar, mas você pode usar uma porta mais alta, que até é mais seguro!

Ai você pode criar a seguinte regra:

Código :

[FONT=Courier New] iptables -t filter -A INPUT -p tcp --dport $porta_do_ssh -j ACCEPT[/FONT]

Isso estará permitindo que QUALQUER um na internet possa acessar essa porta no seu firewall!! Se for deixar assim coloque uma senha bem forte e não deixe o root se logar direto por ssh! Para dar mais segurança ao seu ssh você pode usar um programinha chamado Fail2Ban, aqui esta o link Main Page - Fail2ban

Aqui tem uns bons sites para você pesquisar e aprender:

Linux Resources at KrnlPanic.com
netfilter/iptables project homepage - Documentation about the netfilter/iptables project

Abraços,