Citação Postado originalmente por lacierdias
Então olha meu FW.
Tenho uma rede simples de 4 maquinas não barro nada minha finalidade é defender meus usuários sem q isso incomode a eles.
OBS: este FW é baseado numa conversa com o Ic3 q é valido resaltar foi extremamente atencioso e me ajudou muito.
A duvida é se eu quizer dropar output e forward também oq muda nas minhas regras???
A ideia sempre é proteger meus usúário sem q eles nem percebam isso e continuem o uso normal, feliz e alegres com seu outlook, msn, skype e afins...
Abração em todos

#!/bin/sh

#Internet=eth1
#Rede Interna=eth0

# Ativa módulos
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_REJECT
modprobe ipt_MASQUERADE

# Zera regras
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle

# Determina a política padrão
iptables -P INPUT DROP

# Proxy transparente
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128

# Aceita os pacotes que realmente devem entrar
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT

#SSH
iptables -A INPUT -p tcp --dport 22 --syn -j ACCEPT

#VNC
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5900 -j DNAT --to 192.168.0.15

#Compartilha a conexão
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

#Fecha o resto
iptables -A INPUT -j DROP
Lembra-se que a ordem é primeiro você libera e depois você bloqueia.

Falou,

:good: