Iptables - VPN

1. Iptables - VPN

André Luiz
andrelcampos

(usa Big Linux)

Enviado em 28/02/2018 - 12:20h

Boa tarde pessoal,
Vejam se conseguem me ajudar com um grande problema aqui na empresa.
Temos aqui uma Matriz e uma Filial, cada uma com provedores distintos. Coloquei dois Mikrotiks um em cada unidade, fechei a VPN entre eles. Funcionando show de bola. Abaixo de cada mikrotik eu tenho 2 Firewall Linux (centos 6), com as regras de iptables esquid transparente.
Estou precisando que as redes se falem, então o que eu já fiz. Criei as rotas e nats nos mikrotiks para enviar diretamente para o firewall de cada rede. Eu consigo acessar o firewall de cada rede, pois em cada firewall criei uma regra de INPUT onde foram originados dos ip's das interfaces que criei para cada vpn.
Ex.: iptables -A INPUT -i eth2 -s 10.120.30.1 -j ACCEPT
Ex.: iptables -A INPUT -i eth2 -s 10.120.31.1 -j ACCEPT
OBS.: Os ip's 10.120.30.1 e 10.120.31.1 são os ips das interfaces dos Mikrotiks onde cada firewall nessa mesma interface recebe 10.120.30.2 e 10.120.31.2 consecutivamente.
Eu consigo chegar nos servidores pelo acesso remoto (rdp), porém se eu fizer um NAT:
Ex.: ${iptfa} -i eth2 -d 10.120.8.131 -p TCP --dport 3389 -j ACCEPT
${iptnat} PREROUTING -i eth2 -p tcp -s 10.120.31.1 --dport 3389 -j DNAT --to 10.120.8.131:3389
Ai vem a minha duvida, estou querendo acessar o servidor, por exemplo sem precisar fazer nat para cada porta. E além de acessar o servidor, preciso acessar todas as maquinas da rede e ficar fazendo nat não adiantaria.
Segue um esboço da rede daqui:
Firewall Filial:
eth0 - 10.120.5.5 (ligado o mikrotik onde fornece internet)
eth1 - 10.120.20.1 (ligado ao switch)
eth2 - 10.120.30.2 (ligado ao mikrotik onde fornece a vpn)
Firewall Matriz:
eth0 - 10.120.5.2(ligado ao mikrotik onde fornece internet)
eth1 - 10.120.8.1(ligado ao switch)
eth2 - 10.120.31.2 (ligado ao mikrotik onde fornece a vpn)
Fiz dois nats em cada mikrotik que redireciona tudo que vier de tcp ou upd originado do outro mikrotik vai para o ip na eth2 de cada firewall. Ou seja, o pacote já está no firewall, preciso criar de alguma forma no firewall que tudo va para a rede como um todo.
A rede da filial é 10.120.20.0/23
A rede da matriz é 10.120.8.0/22
Me ajudem, obrigado



  






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts