liberar um ip total

Como faco para liberar um ip total para acesso ao kazaa, sendo o DMZ ou seja como faco para fazer um DMZ

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -F
iptables -t nat -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Proxy transparente
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

#NAT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -o eth1 -m state --state NEW,INVALID -j ACCEPT
iptables -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Acesso Web e Servidor web
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3128 -j ACCEPT

#libera DNS
#iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT

#Email
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT

#FTP
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT

# Ping
iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# Banespa
iptables -A INPUT -p tcp --dport 8000 -j ACCEPT
iptables -A INPUT -p tcp --dport 30005 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8000 -j ACCEPT
iptables -A FORWARD -p tcp --dport 30005 -j ACCEPT

# SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT

#Banco Atualização e msn para autenticacao
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT

#MSN
iptables -A INPUT -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT

#vnc
iptables -A INPUT -p tcp --dport 5800 -j ACCEPT
iptables -A FORWARD -p tcp --dport 5800 -j ACCEPT
iptables -A INPUT -p tcp --dport 5900 -j ACCEPT
iptables -A FORWARD -p tcp --dport 5900 -j ACCEPT
iptables -A INPUT -p tcp --sport 5900 -j ACCEPT
iptables -A FORWARD -p tcp --sport 5900 -j ACCEPT

#Terminal Service
iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
iptables -A INPUT -p tcp --sport 3389 -j ACCEPT
iptables -A FORWARD -p tcp --sport 3389 -j ACCEPT

#VNC
iptables -t nat -A PREROUTING -p tcp --dport 5900 -i eth0 -j DNAT --to 192.168.0.1:5900
iptables -t nat -A PREROUTING -p tcp --dport 5800 -i eth0 -j DNAT --to 192.168.0.1:5800

#Terminal Service
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth0 --dport 3389 -j DNAT --to-destination 192.168.0.1:3389

#Camera Pico
iptables -A INPUT -p tcp --dport 1899 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1899 -j ACCEPT
iptables -A INPUT -p tcp --sport 1899 -j ACCEPT
iptables -A FORWARD -p tcp --sport 1899 -j ACCEPT
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth0 --dport 1899 -j DNAT --to-destination 192.168.0.1:1899

iptables -A INPUT -p tcp --dport 1999 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1999 -j ACCEPT
iptables -A INPUT -p tcp --sport 1999 -j ACCEPT
iptables -A FORWARD -p tcp --sport 1999 -j ACCEPT
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth0 --dport 1999 -j DNAT --to-destination 192.168.0.1:1999

#Sql
iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp --sport 3306 -j ACCEPT
iptables -A FORWARD -p tcp --sport 3306 -j ACCEPT
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth0 --dport 1999 -j DNAT --to-destination 192.168.0.1:3306

#VPN
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p tcp --sport 1723 -j ACCEPT
iptables -A FORWARD -p tcp --sport 1723 -j ACCEPT
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth0 --dport 1723 -j DNAT --to-destination 192.168.0.1:1723

É legal utilizar o módulo layer-7 do iptables para estar tratando do Kazaa e de outros programas P2P. Instale-o e depois insira uma regra assim:
Código :

# iptables -t filter -I FORWARD -s $IP -m layer7 --l7proto fasttrack -j ACCEPT
Abraços!

Citação:
Postado originalmente por xstefanox
É legal utilizar o módulo layer-7 do iptables para estar tratando do Kazaa e de outros programas P2P. Instale-o e depois insira uma regra assim:
Código :

# iptables -t filter -I FORWARD -s $IP -m layer7 --l7proto fasttrack -j ACCEPT
Abraços!
xstefanox pegando carona no post, coloquei isso aqui para liberar o messenger para meu chefe mas não funcionou.
Código :

iptables -t filter -I FORWARD -s 192.168.0.235 -m layer7 --l7proto msnmessenger -j ACCEPT
Tem algo errado?

Aparentemente não, mas talvez seja necessário liberar alguma coisa pra ele no Squid. Verifique se o mesmo não está configurado para acessar o proxy, sobretudo olhando os arquivos de log.

Abraços!

Não estou usando o squid.

Dá uma olhada no seu script, porque a gente é muito acostumado a utilizar -A ao invés de -I nos scripts, mas caso a gente utilize o segundo parâmetro, ele joga a regra acima das outras. Verifique a ordem das regras no seu script.

Abraços!

Cara olha como que ta as tabelas do iptables

Código :

~# iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED 
 
Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     0    --  192.168.0.235           0.0.0.0/0           LAYER7 l7proto msnmessenger 
REJECT     0    --  0.0.0.0/0            72.14.209.94        reject-with icmp-port-unreachable 
REJECT     0    --  0.0.0.0/0            72.14.209.86        reject-with icmp-port-unreachable 
REJECT     0    --  0.0.0.0/0            72.14.209.85        reject-with icmp-port-unreachable 
REJECT     0    --  0.0.0.0/0            72.14.209.87        reject-with icmp-port-unreachable 
DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto msnmessenger 
DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto edonkey 
DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto edonkey 
DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto fasttrack 
DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto fasttrack 
DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto directconnect 
DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto directconnect 
DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto bittorrent 
DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto bittorrent 
DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto napster 
DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto napster 
DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto soulseek 
DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto soulseek 
DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto gnutella 
DROP       0    --  0.0.0.0/0            0.0.0.0/0           LAYER7 l7proto gnutella 
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53 
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:110 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:110 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:25 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:25 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:21 
ACCEPT     0    --  0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED 
ACCEPT     0    --  192.168.0.235           0.0.0.0/0           
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination