Duvida firewall linux

[Bravo]

Uso o slackware junto com o iptables como firewall de uma empresa....primeiro eu liberei as portas padrao..80, 110, 25, 443, 53...e no final bloqueei tudo usando drop em forward e imput.

Bom...eu fiz um teste pra conectar outras portas...exemplo a 22, e nao tive sucesso...significa que o firewall esta funcionando. Mas um dias desse eu instalei o Skype e pra minha surpresa ele conectou normalmente. Pq isso acontesse se eu liberei so as portas que precisei e dropei o restante....teoricamente teria que bloquear, no skype eu desabilitei aquela opcao pra conectar usando a porta 80. Mesmo assim ele passa normal pelo firewalll.....gostaria de sabe como bloquear e qual 'e a logica do iptables de ter que criar uma regra especifica pra bloquear o skype sendo que as regras drop forward e drop imput bloquea tudo?

[ruyneto]

Seguinte voce criou regras para fazer nat pra sua rede interna?? provavelmente voce ta com a regra que abre as portas para conexões estabeleciadas da rede interna, se for assim voce tem de bloquear um por um mesmo.

falows

[Bravo]

tenho regra de nat so pra acessar o servidor da empresa..usando ssh....mas as estacoes nao tem nat pra nada....no iptales esta liberado a rede pra acessar pra fora as portas 53, 25 110, 80, 443....e dei drop no restante

[Bravo]

ABAIXO COMO ESTA MINHA REGRA DO IPTABLES


#!/bin/sh
#
# /etc/rc.d/rc.firewall: Local system initialization script.
#
# Put any local setup commands in here:i

# Linpando Regras
iptables --flush
iptables -t nat --flush

#filtragem especiais
#iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
#iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
#iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST -m limit --limit 1/s -j ACCEPT

# Liberando Loopback
iptables -A INPUT -i lo -j ACCEPT

# Mascaramento
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#Rede interna -> Internet
iptables -A FORWARD -s 192.168.0.1/32 -j ACCEPT # Computador Sidnei (webcam)
iptables -A FORWARD -s 192.168.0.12/32 -j ACCEPT #Computador Financeiro
iptables -A FORWARD -s 192.168.0.13/32 -j ACCEPT #Computador Financeiro
iptables -A FORWARD -s 192.168.0.11/32 -j ACCEPT #Computador Marcio
iptables -A FORWARD -s 192.168.0.10/32 -j ACCEPT #Computador Roberto

#rede interna dos notebooks --> Internet
iptables -A FORWARD -s 192.168.0.50/32 -j ACCEPT
iptables -A FORWARD -s 192.168.0.51/32 -j ACCEPT
iptables -A FORWARD -s 192.168.0.52/32 -j ACCEPT
iptables -A FORWARD -s 192.168.0.53/32 -j ACCEPT
iptables -A FORWARD -s 192.168.0.54/32 -j ACCEPT

# rede interna visitante com acesso total --> Internet
iptables -A FORWARD -s 192.168.0.60/32 -j ACCEPT

# Liberando portas necessarias
iptables -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 8080 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 21 -j ACCEPT

# Libera PcAnywhere
iptables -A FORWARD -p tcp --dport 4899 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p udp --dport 4899 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Liberando replicador do sistema no servidor
iptables -A FORWARD -p tcp --dport 3050 -s 192.168.0.90/32 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3050 -s 200.146.225.9/32 -d 192.168.0.90/32 -j ACCEPT

# Librando acesso ao Squid
iptables -A INPUT -i eth1 -p tcp --dport 3128 -s 192.168.0.0/24 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


# Libera porta pra acesso local
iptables -A INPUT -i eth1 -p tcp --dport 22 -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

# Redirecionando pcanywhere p/ dentro da rede
iptables -t nat -A PREROUTING -t nat -p tcp -d 200.245.113.2 --dport 4899 -j DNAT --to 192.168.0.90:4899
iptables -t nat -A PREROUTING -t nat -p udp -d 200.245.113.2 --dport 4899 -j DNAT --to 192.168.0.90:4899
iptables -t nat -A PREROUTING -t nat -p tcp -d 200.245.113.2 --dport 3050 -j DNAT --to 192.168.0.90:3050

# Bloqueia tudo que passa pelo firewall
iptables -A FORWARD -j DROP
iptables -A INPUT -j DROP

echo "------------- REGRAS DO FIREWALL ATIVADA ------------"

[Bravo]

as linhas comentadas que tem o nome de funcionarios na frentes esta liberados geral...sao autorizados: mas o restante da rede nao era pra estar passando o skype