>Вот оооочень хороший материал по иптаблес https://www.opennet.ru/docs/RUS/iptables/ , когдато по нему настраивал.
>
>А по твоему вопросу, скажу, что цепочки относятся к таблицам, таблиц по
>умолчанию 3 nat mangle filter, в каждой таблице есть цепочки инпут
>и оутпут (и еще другие специфичные для каждой таблицы), так вот
>пакет придя на фаервол считается инпут, когда он обрабатывается он может
>стать форвард или оутпут или отброситься, если пакет создан локальным приложением
>то он пройдет через оутпут цепочки таблиц.
>И еще вопрос интересно поставлен, какой интерфейс будет input а какой output?,
>у тебя ведь из локалки тоже будут поступать пакеты, они будут
>инпут, потому как они пришли на брандмауэр, но и пакеты которые
>пришли из внешней сети тоже будут инпут потому что пришли.
>Сумбурно получилось у меня, читай доку. Окей кто может подкиньте самый простой фаервол
Снаружи (eth3) должно быть закрыто все кроме кроме конекта на 25 и получения ответов на 53,123,1433
Из локалки наружу ничего не ходит кроме как на 1433 из нескольких хостов
Все юзеры должны иметь интернет только через сквид.
Сам сервак может ходить куда угодно.
Как это сделать? Маскарадинг нужно?
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t nat -F OUTPUT
iptables -t nat -A POSTROUTING -s $LAN/24 -j MASQUERADE
iptables -A FORWARD -d $LAN/24 -j ACCEPT
iptables -A FORWARD -s $LAN/24 -j ACCEPT
сейчас только вот это есть, а дальше что и как резать не очень понятно с двумя интерфейсами.