Pessoal, fiz uma modificação aqui e parece que funcionou, mas gostaria da opnião de alguém. Troquei as regras de PREROUTING para FORWARD, teria algum problema?? Abaixo o script: ###Mascaramento da internet para rede interna iptables -t nat -A POSTROUTING -j MASQUERADE ##Redireciona trafego internet para porta 3128 iptables -t nat -A PREROUTING -i eth1 -d ! <a href="http://200.201.174.0/24">200.201.174.0/24</a> -p tcp --dport 80 -j REDIRECT --to-port 3128 #iptables -t nat -A PREROUTING -p tcp --dport 2100 -j DNAT --to-destination <a href="http://192.168.0.1:3128">192.168.0.1:3128</a> #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 #iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport -s <a href="http://192.168.254.0/24">192.168.254.0/24</a> --dport 80,443,563 -j REDIRECT --to-port 3128 ##Bloqueio porta MSN iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 1863 -j REDIRECT --to-port 1863 ## Faixa de ip da eth0 (rede interna) INTERNA=<a href="http://192.168.254.0/24">192.168.254.0/24</a> ###Libera portas padroes rede interna iptables -A FORWARD -p tcp -s $INTERNA --dport 20 -j ACCEPT iptables -A FORWARD -p tcp -s $INTERNA --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -s $INTERNA --dport 22 -j ACCEPT iptables -A FORWARD -p tcp -s $INTERNA --dport 23 -j ACCEPT iptables -A FORWARD -p tcp -s $INTERNA --dport 25 -j ACCEPT iptables -A FORWARD -p tcp -s $INTERNA --dport 53 -j ACCEPT iptables -A FORWARD -p udp -s $INTERNA --dport 53 -j ACCEPT iptables -A FORWARD -p tcp -s $INTERNA --dport 110 -j ACCEPT iptables -A FORWARD -p tcp -s $INTERNA --dport 1863 -j ACCEPT iptables -A FORWARD -p tcp -s $INTERNA --dport 443 -j ACCEPT iptables -A FORWARD -p tcp -s $INTERNA --dport 445 -j ACCEPT iptables -A FORWARD -p tcp -s $INTERNA --dport 587 -j ACCEPT iptables -A FORWARD -p tcp -s $INTERNA --dport 995 -j ACCEPT iptables -A FORWARD -p tcp -s $INTERNA --dport 2100 -j ACCEPT iptables -A FORWARD -p tcp -s $INTERNA --dport 5666 -j ACCEPT iptables -A FORWARD -p tcp -s $INTERNA --dport 27115 -j ACCEPT iptables -A FORWARD -p tcp -s $INTERNA --dport 8080 -j ACCEPT iptables -A FORWARD -p tcp -s $INTERNA -d <a href="http://192.168.254.254/32">192.168.254.254/32</a> --dport 3128 -j ACCEPT # Filtros de portas udp # ###################################### #iptables -t nat -A PREROUTING -p udp -s $INTERNA --dport 53 -j ACCEPT #iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 53 -j ACCEPT ###Bloqueia o restante iptables -A FORWARD -s <a href="http://192.168.254.0/24">192.168.254.0/24</a> -d 0/0 -p tcp -j DROP iptables -A FORWARD -s <a href="http://192.168.254.0/24">192.168.254.0/24</a> -d 0/0 -p udp -j DROP <div class="gmail_quote">2008/12/3 Alexandre Singulani <<a href="mailto:alexsing@gmail.com">alexsing@gmail.com</a>> <blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"> Galera, to tentando rodar um firewall + proxy + msn-proxy. Minha situação é a seguinte: com a configuração logo abaixo: 1: Bloqueia as portas que não estão cadastradas. Não consigo acessar nada, mas se, por exemplo, no browser eu vou em <a href="http://dominio:5800" target="_blank">http://dominio:5800</a> (vncviewer), ele ta passando, não era pra passar, mas está passando. Quando eu tiro do proxy, ele não passa mais, somente se eu liberar.... 2: O msn não conecta de forma alguma. Mas quando eu comento as ultimas regras (as regras de DROP), o msn passa a conectar e passar pelo msn-proxy. Eu queria continuar bloqueando as portas que não estao na regra de ACCEPT, mas o msn continuasse funcionando com o msn-proxy. Na regra de redirecionamento pro msn-proxy, eu mando a 1863 pra 1863. Mais abaixo eu to liberando a porta. Mesmo eu tirando ela das regras de ACCEPT, não funciona. O script tá bem basicão, mas não tenho necessidades de coisas mais avançadas, somente monitorar o msn e bloquear o tráfego que utilizem outras portas que não sejam as que cadastrei. Alguma ajuda???? []s meu script de firewall ###Mascaramento da internet para rede interna iptables -t nat -A POSTROUTING -j MASQUERADE ##Redireciona trafego internet para porta 3128 iptables -t nat -A PREROUTING -i eth1 -d ! <a href="http://200.201.174.0/24" target="_blank">200.201.174.0/24</a> -p tcp --dport 80 -j REDIRECT --to-port 3128 ##Redirecionamento porta MSN para msn-proxy funcionar iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 1863 -j REDIRECT --to-port 1863 ## Faixa de ip da eth0 (rede interna) INTERNA=<a href="http://192.168.254.0/24" target="_blank">192.168.254.0/24</a> ###Libera portas padroes rede interna iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 20 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 21 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 22 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 23 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 25 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 53 -j ACCEPT iptables -t nat -A PREROUTING -p udp -s $INTERNA --dport 53 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 110 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 443 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 1863 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 445 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 587 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 995 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 2100 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 5666 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 8080 -j ACCEPT ###Bloqueia o restante iptables -t nat -A PREROUTING -p tcp -s $INTERNA -j DROP iptables -t nat -A PREROUTING -p udp -s $INTERNA -j DROP </blockquote></div>