Galera, ja postei essa duvida aqui, mas vou colocar de novo pois ainda nao resolvi o problema.
Tenho o seguinte cenário:
Firewall A
ip: 10.0.0.110
subrede atras do NAT: 192.168.10.0/24
Firewall B
ip: 10.0.0.120
subrede atras do NAT: 192.168.20.0/24
Regras nos dois firewalls (apenas a nivel de teste)
Firewall A
# Variaveis
IFACE=eth0
LAN=192.168.10.0/24
# Ativar modulos
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_nat_ftp
# Limpar regras
iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F
# Alterar policiamento
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
# Compartilhar a conexao
iptables -t nat -A POSTROUTING -o $IFACE -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
#---------------------
# Regras de INPUT #
#---------------------
# Entrar somente o necessario
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# SSH
iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT
# Ping
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i ipsec0 -p tcp -j ACCEPT
iptables -A INPUT -i ipsec0 -p tcp --dport 500 -j ACCEPT
iptables -A INPUT -i ipsec0 -p udp --dport 500 -j ACCEPT
#-----------------------
# Regras de FORWARD #
#-----------------------
# Passar somente o necessario
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# DNS
iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -o $IFACE -s $LAN -p udp --dport 53 -j ACCEPT
# Web
iptables -A FORWARD -o $IFACE -s $LAN -p tcp --dport 80 -j ACCEPT
# SSH
iptables -A FORWARD -p tcp --syn --dport 22 -j ACCEPT
# PING
iptables -A FORWARD -p icmp -j ACCEPT
iptables -A FORWARD -o ipsec0 -p tcp -j ACCEPT
iptables -A FORWARD -o ipsec0 -p tcp --dport 500 -j ACCEPT
iptables -A FORWARD -o ipsec0 -p udp --dport 500 -j ACCEPT
* Nao vou postar as regras do Firewall B, pois so muda essa linha:
LAN=192.168.20.0/24
O que acontece é que, quando os dois fw estao com as politicas de INPUT e FORWARD como DROP, a rede 192.168.10.0/24 nao enxerga, por exemplo com um ping, a rede 192.168.20.0/24.
Quando eu mudo no Firewall A a politica do FORWARD para ACCEPT e no Firewall B a INPUT para ACCEPT, consigo pingar.
O que sera que falta liberar nas regras?
Agradeço a todos, pois estou preciando demais dessa solução!