Então olha meu FW.
Tenho uma rede simples de 4 maquinas não barro nada minha finalidade é defender meus usuários sem q isso incomode a eles.
OBS: este FW é baseado numa conversa com o Ic3 q é valido resaltar foi extremamente atencioso e me ajudou muito.
A duvida é se eu quizer dropar output e forward também oq muda nas minhas regras???
A ideia sempre é proteger meus usúário sem q eles nem percebam isso e continuem o uso normal, feliz e alegres com seu outlook, msn, skype e afins...
Abração em todos
#!/bin/sh
#Internet=eth1
#Rede Interna=eth0
# Ativa módulos
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
# Zera regras
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
# Determina a política padrão
iptables -P INPUT DROP
# Proxy transparente
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128
# Aceita os pacotes que realmente devem entrar
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
#SSH
iptables -A INPUT -p tcp --dport 22 --syn -j ACCEPT
#VNC
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5900 -j DNAT --to 192.168.0.15
#Compartilha a conexão
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
#Fecha o resto
iptables -A INPUT -j DROP