iptables output i forward tylko określone porty

[grzesp]

Witam serdecznie.
W tej chwili mam tak:

Kod: Zaznacz cały

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

Chciałbym zmienić to w sposób taki, aby użytkownicy sieci wewnętrznej mogli korzystać z Internetu ograniczając tylko do http(s) - czyli port 80 oraz 443, pop3 i smtp oraz GG.

Czy konieczne jest ustawienie

Kod: Zaznacz cały

iptables -P OUTPUT DROP

i otwarcie każdego portu osobno dla OUTPUT?
Czy wystarczy zostawić jak jest i w regułce FORWARD zapisać, które porty są dozwolone?

Tak to wygląda w tej chwili:

Kod: Zaznacz cały

iptables -A FORWARD -i eth4 -p tcp -m iprange --src-range 192.168.3.1-192.168.3.255 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -o eth4 -m multiport --dport 1:1024 -j DROP
iptables -A FORWARD -i eth0 -p tcp -m iprange --src-range 192.168.3.1-192.168.3.255 -j ACCEPT

Gdzie: eth0 to wyjście na świat natomiast eth4 sieć wewnętrzna.

Pozdrawiam,
Grzegorz.