Bom, acho que ficou meio confuso minha pergunta
Vou falar mais um pouco como estou tentando fazer esse firewall
A maquina firewall possui 3 interfaces de rede, eth0 para rede interna, eth1 para o servidor de web e eth2 para internet
As politicas estão assim: INPUT DROP, FORWARD ACCEPT, OUTPUT ACCEPT
Tentei deixar a politica FORWARD DROP, mas ai não consigo acessar internet pela rede interna nem pelo servidor web.
Tenho as seguintes regras no meu firewall
iptables -A FORWARD -s $IP_SWEB -d $IP_INT -j ACCEPT
iptables -A FORWARD -d $IP_SWEB -s $IP_INT -j ACCEPT
iptables -A FORWARD -d $IP_SWEB -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s $IP_SWEB -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth2 -m multiport -p tcp --dport ! 80,443 -j DROP
Regras de roteamento:
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
iptables -t nat -A PREROUTING -s $IP_EXT -p tcp --dport 80 -j DNAT --to $IP_SWEB
iptables -t nat -A POSTROUTING -s $IP_SWEB -j SNAT --to $IP_EXT
Acho que essas são as regras mais importantes as outras são só de proteção contra ping ping of death e regras para acesso da Rede interna para o Servidor Web
Obrigado pela ajuda....