Depois de ler um pouco e receber sugestões e puxões de orelha de colegas da lista, tentei montar o meu firewall.
Gostaria que quem tivesse um pouco de tempo analisasse e me ajudasse a saber onde estão as falhas.
O que eu quero é: bloquear tudo e depois liberar apenas o que eu preciso, que é :
1) Usuarios da rede interna possam acessar a Internet (através do squid), acesso a páginas e email
Estes mesmos usuarios não deveriam ter acesso a MSN, ICQ, Skype...
2) Gostariamos que algumas maquinas (especificamente "Servidor SP" e "Servidor Amigo") pudessem acessar via Terminal Server uma máquina da minha rede interna chamada "IPJoc"
Segue o arquivo
#!/bin/bash
#
RedeLocal="192.165.9.0/24"
ServidorSP="teste.no-ip.info"
Servidoramigo="200.25.9.2"
MSN1="207.46.104.20"
MSN2="207.46.107.141"
MSN3="207.46.110.100"
MSN4="207.68.177.126"
ICQ1="64.12.164.248"
ICQ2="64.12.202.217"
ICQ3="205.188.251.88"
ICQ4="205.188.241.121"
#
###############
##### NAT #####
###############
# Limpa as regras da tabela filter
iptables -F
#
# Limpa as regras da tabela nat
iptables -t nat -F
#
# Exclui as chains da tabela nat
iptables -t nat -X
#
# Aplica politicas padroes para as chains
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
#
# Mantem as conexoes ja estabelecidas
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#
# Libera acesso da rede local a Internet
iptables -A INPUT -i eth0 -s $RedeLocal -j ACCEPT
iptables -t nat -A POSTROUTING -s $RedeLocal -o ppp0 -j MASQUERADE
#
# Obriga a Rede Local a passar pelo Squid - bloqueando sites pornos
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
#
# Bloquando Ping da Morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#
# Protecao contra pacotes danificados, suspeitos ou mal formados.
iptables -A FORWARD -m unclean -j DROP
#
# Autorizacao para alguns servidores acessarem via Terminal Server/Conexao Remota
iptables -t nat -A PREROUTING -s $Servidoramigo -i ppp0 -p tcp --dport 3389 -j DNAT --to 192.168.10.241:3389
iptables -t nat -A PREROUTING -s $ServidorSP -i ppp0 -p tcp --dport 3389 -j DNAT --to 192.168.10.241:3389
#
# Bloqueando o MSN
iptables -A FORWARD -s $RedeLocal -d $MSN1 -j DROP
iptables -A FORWARD -s $RedeLocal -d $MSN2 -j DROP
iptables -A FORWARD -s $RedeLocal -d $MSN3 -j DROP
iptables -A FORWARD -s $RedeLocal -d $MSN4 -j DROP
#
# Bloqueando o ICQ
iptables -A FORWARD -s $RedeLocal -d $ICQ1 -j DROP
iptables -A FORWARD -s $RedeLocal -d $ICQ2 -j DROP
iptables -A FORWARD -s $RedeLocal -d $ICQ3 -j DROP
iptables -A FORWARD -s $RedeLocal -d $ICQ4 -j DROP
#
# Libera algumas portas http/https/pop3/pop3 ssl
iptables -A FORWARD -d $RedeLocal -i ppp0 -o eth0 -j ACCEPT
iptables -A FORWARD -s $RedeLocal -i eth0 -o ppp0 -j ACCEPT
iptables -A FORWARD -s $RedeLocal -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s $RedeLocal -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -s $RedeLocal -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s $RedeLocal -p tcp --dport 995 -j ACCEPT #
#
echo 1 > /proc/sys/net/ipv4/ip_forward