Возможно реализую )
http://www.opennet.ru/docs/RUS/iptables/#TRAVERSINGOFTABLES
http://www.opennet.ru/docs/RUS/iptables/misc/iptable…bles_traverse.jpg
Теперь по теме. Настройка файрволла под Ваши задачи.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Пропускаем обратную петлю
iptables -A INPUT -d 127.0.0.1 -j ACCEPT
# Пропускаем пакеты уже установленных соединений
iptables -A INPUT -m state —state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state —state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state —state ESTABLISHED,RELATED -j ACCEPT
# Пропускаем сквид
iptables -A OUTPUT -m owner —uid-owner squid -j ACCEPT
# Я так понимаю, что в локальной сети особо опасных хакеров нет
iptables -A INPUT -s 192.168.30.0/24 -j ACCEPT
# Поднимаем nat
iptables -t nat -A POSTROUTING -o eth0 -j SNAT —to-source 192.168.20.2
# Выпускаем пользователей по одному, тех кому нужен прямой доступ к каким-то там портам
iptables -A FORWARD -s <ip адрес пользователя> -p <протокол> —dport <номер порта> -j ACCEPT
