Problema com squid iptables em 3 servidores

[rolldbm]

Meus caros me deparei com problema e conto com a ajuda de vocês para resolve-lo.
Primeiramente vou descrever a situação da minha rede: Tenha 3 servidores localizados na matriz de uma drogaria, e 3 filiais cada uma com um servidor. O primeiro servidor da matriz é o responsável pelo controle da rede, com squid e firewall, este servidor contem duas placas de rede. O meu modem dlink 500b está discando a conexão com a rede, ligo o cabo do modem direto na placa de rede eth0 que tem o ip 200.170.199.41, e a placa de rede eth1 contem o ip 192.168.1.1. Os outros dois servidores são responsáveis pelo funcionamento do sistema da drogaria matriz e suas filiais. O sistema foi desenvolvido em delphi que é instalado nas estações windows xp e se conectão a um banco de dados mysql em um dos servidores linux que tem o ip 192.168.1.77. Todas as estações se conectão neste servidor. Nas filiais o mesmo acontece. O terceiro servidor é responsável pela distribuição das informações entre matriz e filial, pela replicação dos dados que é feita a cada 10 segundos, este servidor recebe o ip 192.168.1.76. Todos os servidores das filiais e o servidor da matriz o de ip 192.168.1.77 se comunicao com este servidor principal. Agora vem o problema. Criei as regras do firewall e squid e configuro os navegadores da matriz com o proxy 192.168.1.1 direcionado para porta 3128. Ate ai tudo bem a internet funciona perfeito, mas a replicação dos dados não. Preciso que quando alguém acesse o ip 200.170.199.41 de fora da rede seja acesso o servidor principal de ip 192.168.1.76, pois nele contem um servidor web instalado com mostra o status da replicação da matriz e filiais e também esta nele o mysql banco de dados principal pela replicação e um sistema de no shadow que é responsável pela replicação dos dados. Necessito de acessar este servidor para o funcionamento da rede, outra coisa preciso liberar acesso ao servidor 192.168.1.76 as portas 21, 22, 23, 25, 3306, 80, 4321, 5500. Isto é o principal. No mais obrigado pela atenção, desculpe pelo tamanho do tópico, se não fosse assim não ficaria fácil de vocês entenderem.

[Magnun]

Não sei se entendi tudo direito mas, você quer redirecionar as comunicações na porta 80 do ip 200.170.199.41 para a porta 80 do ip 192.168.1.76 certo?

Isso pode ser feito com uma regra no servidor de ip 200.170.199.41. Utilize a regra:
iptables -t nat -A PREROUTING -i eth0 -d 200.170.199.41 -p tcp --dport 80 -j DNAT --to 192.168.1.76


Você disse que precisa liberar o acesso para as o srv 192.168.1.76 nas portas 21, 22, 23, 25, 3306, 80, 4321, 5500. Mas isso vindo de onde?? Como assim?? Redirecionando de 200.170.199.41 também??
Se for é só serguir o padrão da regra acima e variar a porta de destino e protocolo...

[herlon2008]

Uma outra forma de efetuar isto é criar uma chain :

iptables -t nat -N burla_squid
iptables -t nat -A burla_squid -s xxx.xxx.xxx.xxx -j RETURN
iptables -t nat -A burla_squid -d xxx.xxx.xxx.xxx -j RETURN
iptables -t nat -A burla_squid -j <direciona para porta squid>
iptables -t nat -A PREROUTING -i <ethx> -p tcp --dport 80 -j burla_squid

Os IP's que se encontrarem na listagem acima não serão redirecionados para o squid, voltara as regras iptables , executando as regras abaixo da regra :
iptables -t nat -A PREROUTING -i <ethx> -p tcp --dport 80 -j burla_squid

[herlon2008]

Já pensou em utilizar uma VPN, para este caso, acredito que agregaria mais segurança e menos problemas de redirecionamento, pois todas as unidades fariam parte de uma unica rede.

[rolldbm]

obrigado pelas repostas, vou fazer os devidos teste, agora tem um coisa. ate ai as respostas estão me ajudando so que tem o outros servidor o 192.168.1.77 que é o servidor de dados da matriz ele tambem tem que se comunicar com o servidor principal o 192.168.1.76 e preciso de na rede este computador 192.167.1.77 tenha acesso as portas que informei no topico pois ambos se comunicao para replicação dos dados. No mais obrigado.

[Magnun]

A regra que indiquei vai fazer o redirecionamento dos pacortes que vierem pela internet (atravez do ip 200.170.199.41) somente. Se você estiver na rede 192.168.1.0/24 você pode acessar diretamente o servidor 192.168.1.76 e 192.168.1.77 sem ser redirecionado.

[rolldbm]

obrigado pela dica magnun fiz o teste e esta funcionando perfeito. Obrigados a todos que contribuiram para este topico

[Magnun]

Blz cara...
Precisando posta ai...