sem navegação 'net

estabeleci aqui um fwll/gw em iptables. Tudo muito bom - e aí é que o bicho pega - só que o pessoal NÃO NAVEGA na Internet

PARTE das minhas regras - as que (IMHO) importam - estão aqui:

$IPT -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -j ACCEPT
$IPT -t nat -A POSTROUTING -o $NIC_EXTERNA -j MASQUERADE

o que dá pra se entender, via relatório (abaixo) é que a solicitação VAI pra 'net, mas a eventual resposta não aparece:

Nov 14 08:40:00 srv4 kernel: ** FORWARD **IN=eth1 OUT=eth0 SRC=128.1.14.9 DST=200.169.88.1 LEN=63 TOS=0x00 PREC=0x00 TTL=127 ID=1398 PROTO=UDP SPT=1032 DPT=53 LEN=43
Nov 14 08:40:01 srv4 kernel: ** FORWARD **IN=eth1 OUT=eth0 SRC=128.1.14.17 DST=216.52.184.243 LEN=775 TOS=0x00 PREC=0x00 TTL=127 ID=2226 PROTO=ICMP TYPE=8 CODE=0 ID=768 SEQ=19459
[.. prossegue..]

bem.. eu estou aqui, travado. Alguma sugestão?

notar (de novo): a conexão matriz-filial, via OpenVPN funciona muito bem mas - veja pela regra - NÃO É masquerade'd aqui, pq o OpenVPN cuida disso.

grato,

foi resolvido - catei um script na Internet, adequei pras minhas condições e pronto, funcionou.

Então, por gentileza, poderia postar o novo script de firewall que funciona aí com você, só para os interessados poderem comparar?

abracos

pode ve-lo aqui: Bash pastebin - collaborative debugging tool

IMPORTANTE:
a) algumas variaveis foram removidas na definição, mas são usadas no texto. Coloque as suas, no lugar
b) é muito importante verficar os log's para os "reject"; se houver algum que NÃO DEVA ser rejeitado, vai para o BLOCK ou SAIDA, pra ser autorizado.

divirtam-se.

Você não entendeu.
Quando pedi para postar o novo script de firewall, não era para postar do site que você encontrou, e sim o script que está rodando com você.