Configuração de Internet (2 conexões: 1 compartilhada e 1 acesso remoto)

[Beto_SP]

Olá amigos!

Já procurei em diversos foruns a solução para um probleminha aqui mas não encontrei nada que funcionasse.
Tentei fazer algumas coisas aqui mas apanhei pacas... 

Preciso configurar o seguinte cenário no Ubuntu Server 9.10 (Karmic Koala):

[eth0] = Rede Local
IP Placa: 192.168.10.2
Mascara : 255.255.255.0

[eth1] = Acesso Remoto (Cable Net)
IP Placa: dhcp via modem
IP Conexão : fixo (200.172.xxx.154) via mac address pelo provedor
IP Modem: 192.168.200.1

[eth2] = Compartilhar Internet com a LAN (Wimax Embratel)
IP Placa: dhcp via modem
IP Conexão: dinâmico
IP Modem: 192.168.150.1

RESULTADO ESPERADO:
Fazer com que todo o tráfego interno (vindo pela LAN [eth0]), acesse a internet exclusivamente pelo [eth2], enquanto acessos remotos recebidos pela Internet através do [eth1] (IP Fixo) seja redirecionado para um IP interno da LAN, que hospeda um aplicativo em sua porta 1100.

Gostaria que as 2 conexões passassem pelo firewall para manter a segurança.

Hoje ele está assim:
----------------------------------------------------------------------------
/etc/init.d/firewall/firewall
### Variaveis WAN - Internet
IF_WAN="eth2"
IP_WAN=`ifconfig eth2 | grep "inet end" | cut -d: -f2 | cut -d\ -f2`
### Variaveis REM - Acesso Remoto
IF_REM="eth1"
IP_REM=`ifconfig eth1 | grep "inet end" | cut -d: -f2 | cut -d\ -f2`
### Variaveis LAN - Rede Local
IF_LAN="eth0"
IP_LAN=`ifconfig eth0 | grep "inet end" | cut -d: -f2 | cut -d\ -f2`

### Resetando o Firewall
iptables -F
iptables -Z
iptables -X
iptables -t nat -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

### Liberando o Acesso WEB
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -j ACCEPT

### Redirecionando Acesso Squid Interno na porta 3128
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

### Aceita todo o trafego vindo do loopback e indo para o loopback
iptables -A INPUT -i lo -j ACCEPT

### Aceita toda a rede local
iptables -A OUTPUT -j ACCEPT -o $IF_LAN
iptables -A INPUT -j ACCEPT -i $IF_LAN

### Aceita somente conexoes estabelecidas primeiro
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

### Permite que conexoes estabelecidas sejam encaminhadas
iptables -A FORWARD -i $IF_WAN -m state --state RELATED,ESTABLISHED -j ACCEPT

### Aceitar conexao das maquinas da rede interna
iptables -A INPUT -p tcp --syn -s $REDE -j ACCEPT

### Permite conexoes da rede interna para saida de internet
iptables -A FORWARD -i $IF_LAN -o $IF_WAN -j ACCEPT

### Permitir a entrada atraves de portas especificas
iptables -A INPUT -p tcp --dport 1100 -j ACCEPT ### Sistema Remoto
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT ### Squid

### Redirecionando Porta para Sistema Remoto
redir -laddr=0.0.0.0 --lport 1100 --caddr=192.168.10.30 --cport 1100 &

### Finalizando Configuracao
iptables -P OUTPUT ACCEPT
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

----------------------------------------------------------------------------
Sei que está faltando alguma coisa... 

Alguém aí pode me dar uma luz ?
Qualquer ajuda será bem vinda!

Muito Obrigado !

[Leandr0]

Bom dia!

Voce vai ter que marcar os pacotes, a um tempo atras tive algo parecido, porem era para saida distintas...

de uma olhada...

http://ubuntuforum-br.org/index.php?topic=64841.0

[Beto_SP]

Olá Leandr0, obrigado pela ajuda!

Estou pesquisando o funcionamento da marcação de pacotes que você citou, para ver se consigo implementar para a conexão da internet compartilhada na rede (de dentro pra fora).

Mas, e quanto a conexão que vai receber acessos externos e redirecionar para um micro da rede?
Precisaria marcar pacotes também ou não é preciso fazer nada quanto a ela ?

Obrigado!

[Leandr0]

vc trabalha com uma "matriz" e uma "filial"?

caso seja, vc teria que na filial liberar apenas o acesso a matriz e de la sair para a internet....

[zekkerj]

Bom dia!

Voce vai ter que marcar os pacotes, a um tempo atras tive algo parecido, porem era para saida distintas...

de uma olhada...

http://ubuntuforum-br.org/index.php?topic=64841.0

Acho que dá pra usar a mesma solução, só ajustando os parâmetros.