Firewall pra macho !! SOLUCIONADO !!
Resolvido !
Nada como estudar um pouco....
Valeu galera (inclusive o nosso "amigo" que diz que vai me hackear, agradeço o toke do ip :wink: ), os links indicados por todos foi de bom uso. Agora tah tudo funcionando redondim.
Vou postar minha solução encontrada, pois foi dificil achar na net alguém que fizesse o mesmo pra poder servir de base. Fica aki minha contribuição a todos.
Vejam como ficou meu script:
# Limpando regras
iptables -t nat -F
iptables -F
# Fechando repasse e entrada
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# Relatando conexoes
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
# Aceitando conexões para o Loopback do Firewall
iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -p ALL -s 200.200.200.254 -i lo -j ACCEPT
iptables -A INPUT -p ALL -s 201.201.201.254 -i lo -j ACCEPT
# Liberar SSH partido do firewall
iptables -A INPUT -i eth2 -p tcp --sport 22 -j ACCEPT
# Liberar REPASSE das portas para o servidor 200.200.200.1 (Server1)
# DNS tcp,udp / SMTP / POP / IMAP / FTP / HTTP / HTTPS
iptables -A FORWARD -p udp -d 200.200.200.1 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 53 -d 200.200.200.1 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 25 -d 200.200.200.1 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 110 -d 200.200.200.1 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 143 -d 200.200.200.1 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 20 -d 200.200.200.1 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 21 -d 200.200.200.1 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -d 200.200.200.1 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 443 -d 200.200.200.1 -j ACCEPT
# Liberar REPASSE das portas para o servidor 200.200.200.2 (Server2)
# DNS tcp,udp / FTP / HTTP / HTTPS
iptables -A FORWARD -p udp -d 200.200.200.2 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 53 -d 200.200.200.2 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 20 -d 200.200.200.2 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 21 -d 200.200.200.2 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 80 -d 200.200.200.2 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --dport 443 -d 200.200.200.2 -j ACCEPT
# Liberar REPASSE das portas para o servidor 200.200.200.3 (Windows 2000)
# VNC
iptables -A FORWARD -p tcp -m tcp --dport 5900:5999 -d 200.200.200.3 -j ACCEPT
# Mascaramento
modprobe ipt_conntrack
modprobe ip_conntrack
modprobe ip_conntrack_ftp
iptables -t nat -F
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth2 -j SNAT --to 201.201.201.254
# Proteções
# Ping
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
# Ping da morte
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Syn-flood
iptables -A INPUT -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
# Portscan
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
# Bugs em traducao NAT
iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP
# Ataques DoS
iptables -A FORWARD -m unclean -j DROP
# spoofing
iptables -A INPUT -i eth2 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i eth2 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth2 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth2 -s 224.0.0.0/4 -j DROP
iptables -A INPUT -i eth2 -s 240.0.0.0/5 -j DROP
# Descarte de pacotes com cabeçalhos invalidos
iptables -A FORWARD -m state --state INVALID -j DROP