iptables + proxy no transparente políticas por defecto DROP

Forums: 

Al poner como drop INPUT , OUTPUT , FORWARD las polítcas por defecto no puedo navegar por internet en las estaciones no responde , tengo proxy no transparente adjunto config iptables.

# Permitimos hacer forward de paquetes en el firewall, o sea
# que otras máquinas puedan salir a traves del firewall.
echo 1 > /proc/sys/net/ipv4/ip_forward

# localhost
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Ahora hacemos enmascaramiento de la red local
# y activamos el BIT DE FORWARDING (imprescindible!!!!!)
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

# Navegacion desde el firewall
iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

# Navegacion del proxy
iptables -A INPUT -p tcp -m tcp --sport 8080 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 8080 -j ACCEPT

# Forward puerto 80
iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.0.2/24 -d 0/0 -p udp --dport 80 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1 -d 192.168.0.2/24 -s 0/0 -p udp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT

#Redireccionamos el port 80 to 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128

Su ayuda.

Me llama la atención esto:

Imagen de deathUser

Me llama la atención esto:

[quote=ebox]
# Navegacion del proxy
iptables -A INPUT -p tcp -m tcp --sport 8080 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 8080 -j ACCEPT
...
#Redireccionamos el port 80 to 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128
[/quote]

Squid escucha en el puerto 3128 u 8080 ...??? si es que escucha en el 3128, deberías cambiar la regla de 8080 a 3128 o permitir output y forward desde tu red interna hacia el Internet ...

Mira algún script de firewall de los que hay ahí por la red, incluso en el foro ...

bye
;)