копал.. и вот что получаю на данный момент. пока минимум из того что нужно
# Generated by iptables-save v1.4.4 on Thu Jun 9 11:29:08 2011
*nat
:PREROUTING ACCEPT [620:51365]
:POSTROUTING ACCEPT [5:300]
:OUTPUT ACCEPT [401:28340]
-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -d x.x.x.x/32 -i eth1 -p tcp -m tcp --dport 25 -j DNAT --to-destination 172.16.4.13
-A PREROUTING -d x.x.x.x/32 -i eth1 -p tcp -m tcp --dport 110 -j DNAT --to-destination 172.16.4.13
-A PREROUTING -d x.x.x.x/32 -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 172.16.4.13
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Thu Jun 9 11:29:08 2011
# Generated by iptables-save v1.4.4 on Thu Jun 9 11:29:08 2011
*mangle
:PREROUTING ACCEPT [7205:2503483]
:INPUT ACCEPT [5606:2344328]
:FORWARD ACCEPT [301:55624]
:OUTPUT ACCEPT [4603:2021823]
:POSTROUTING ACCEPT [4904:2077447]
COMMIT
# Completed on Thu Jun 9 11:29:08 2011
# Generated by iptables-save v1.4.4 on Thu Jun 9 11:29:08 2011
*filter
:INPUT DROP [1475:113478]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [4603:2021823]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 10000 -j ACCEPT
добавил
-A INPUT -i eth+ -p tcp -m tcp --dport 1723 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2202 --sport 1024:65535 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 172.16.4.0/24 -i eth1 -j ACCEPT
-A FORWARD -s 172.16.4.13/32 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 172.16.4.13/32 -p tcp -m tcp --dport 5190 -j ACCEPT
COMMIT
# Completed on Thu Jun 9 11:29:08 2011
работает все.
Буду прикручивать правила для VPN
vpn подключается. SSH заработал (как из сети так и из в не)
Но есть вопрос.
1.Приходится для каждого компа прописывать скайп и аську, что не есть удобно.
Как сие дело разрешить для всей сети?
2. Не работают правила
-A PREROUTING -d 172.16.3.95/32 -i eth1 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 172.16.4.13
нет доступа по RDP