Roteamento - Iptables ?!?

Cenário :

5 Lojas conectadas via rádio, sendo :

FW-LOJA 1 - 192.168.1.254/24 (IP ANTENA LJ 1 - 192.168.10.254) | MATRIZ
FW-LOJA 2 - 192.168.2.254/24 (IP ANTENA LJ 2 - 192.168.20.254) | FILIAL 1
FW-LOJA 3 - 192.168.3.254/24 (IP ANTENA LJ 3 - 192.168.30.254) | FILIAL 2
FW-LOJA 4 - 192.168.4.254/24 (IP ANTENA LJ 4 - 192.168.40.254) | FILIAL 3
FW-LOJA 5 - 192.168.5.254/24 (IP ANTENA LJ 5 - 192.168.50.254) | FILIAL 4

** todos rodam Debian Linux 6 **
** filiais não possuem vlan **

Ok, as lojas (FILIAIS) estão se 'conversando' fato que me faz pensar que o roteamento entre elas está ok, ocorre agora que meu FW da matriz esta apresentando problemas de Disco e preciso instalar em uma nova máquina. Já tentei em dois momentos e não consegui fazer as rotas com as devidas liberações de portas e acessos externos, as configs de rede do FW-LOJA 1 estão da seguinte maneira:

ETH0 - 192.168.1.254/24 | INTERNO
ETH1 - 192.168.10.254 | ANTENA/RADIO
ETH2 - 200.200.200.200 | INTERNET
VLAN - 172.16.1.0/16 | VLAN BD

O que eu preciso saber, e para isso conto com o conhecimento dos senhores, é :

- Quais regras devo deixar no meu iptables para as Filiais se conectem livremente (todas as portas liberadas) na Matriz e vice-versa.

- Como "roteio" um acesso externo de uma internet com ip dinâmico para uma máquina especifica dentro da Matriz.
(estou usando assim, certo, errado?)
iptables -t nat -A PREROUTING -p tcp -i eth3 --dport 3333 -j DNAT --to-dest 192.168.1.200:2222

- Como "roteio" a VLAN da matriz para todas as demais filiais e inclusive matriz.

Andei vendo alguns scripts de FW's mas todos com apenas 2 redes, nenhum com 3 placas de redes, o que dificultou um pouco... mas penso nao estar no caminho totalmente errado. Conto com a colaboração de quem estiver disposto a ajudar.

Desde já agradeço.

Posta teu script do IPtables aqui.

Opa, segue :

#--------------------------------------------------------------------------------------
#Antes de criar as ROTAS e REGRAS Monta particao para backup;
mount /dev/sdb1 /hd_backup/

#limpando as regras ####
iptables -t filter -F
iptables -t nat -F

# Carregando modulos
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_MASQUERADE
modprobe ipt_multiport
modprobe iptable_mangle
modprobe ipt_tos
modprobe ipt_limit
modprobe ipt_mark
modprobe ipt_MARK

####### Definicao de Policiamento ######
# Tabela filter
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
# Tablea nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
# Tabela mangle
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT

#Apagando Rotas
route del -net 0.0.0.0 netmask 0.0.0.0 gw 192.168.1.1

#Criando Rotas
route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.10.254
route add -net 192.168.3.0 netmask 255.255.255.0 gw 192.168.10.254
route add -net 192.168.4.0 netmask 255.255.255.0 gw 192.168.10.254
route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.10.254
route add -net 192.168.20.0 netmask 255.255.255.0 gw 192.168.10.254
route add -net 192.168.30.0 netmask 255.255.255.0 gw 192.168.10.254
route add -net 192.168.40.0 netmask 255.255.255.0 gw 192.168.10.254
route add -net 192.168.50.0 netmask 255.255.255.0 gw 192.168.10.254

#Direciona pacotes para SQUID
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

#
iptables -A FORWARD -s 192.168.1.100 -d 200.1.1.1 --dport 443 -j ACCEPT
iptables -A FORWARD -s 192.168.1.101 -d 200.1.1.1 --dport 443 -j ACCEPT

#Direciona Para TS
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 2222 -j DNAT --to-dest 192.168.1.100:3333

#Mascara de Pacotes
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

#--------------------------------------------------------------------------------------

Ta ai.

flw !

Todas as políticas estão ACCEPT. As portas estão abertas.
Executa o seguinte como root nesse servidor da matriz:

route

e posta aqui o resultado.

A eth0 vai para a rede interna;
A eth1 recebe por cabo o sinal do rádio via antena;
E a eth2 (INTERNET) vai para um switch ou recebe um sinal de internet?

Camarada, Buck, o resultado de route vai ser as rotas "estartadas" no script de FW, sendo que eu apago tudo e depois carrego as rotas....

Pois então, você está apagando as rotas para o gateway 192.168.1.1 (#Apagando Rotas
route del -net 0.0.0.0 netmask 0.0.0.0 gw 192.168.1.1) e criando somente as outras.

Adicione esta linha no início de "#Criando Rotas" e teste:
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.10.254
Entendeu?
Veremos a partir daí.

Quanto a esta regra:
iptables -t nat -A PREROUTING -p tcp -i eth3 --dport 3333 -j DNAT --to-destination 192.168.1.200:2222
Interpretando a regra: iptables, adicione na tabela nat na chain PREROUTING (antes do roteamento) no protocolo tcp, tudo que entrar pela eth3 na porta 3333 com o alvo DNAT vai para o IP 192.168.1.200 pela porta 2222

Para te auxiliar, veja aqui o Manual do IPtables traduzido:
http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/