Iptables politica por defecto drop + squid transparente

Forums: 

Buenas tardes.

Actualmente tengo input y output en drop y forward en accept.
Puedo navegar, pero cuando activo el redirect al puerto del proxy no navega.

Si pongo input y output en accept puedo navegar tanto desde el servidor que tiene el firewall y proxy como desde la lan.

Inicialmente mi intención era poner forward en drop, pero no lograba navegar, detalles sobre este punto también son bienvenidos.

Router --- eth0 --- Firewall-proxy --- eth1 --- lan

eth0: 192.168.1.1
eth1: 192.168.10.1

Detalles de mi script

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecemos politica por defecto: DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

# Bit forward
echo 1 > /proc/sys/net/ipv4/ip_forward

# Guardar los accesos con paquetes fragmentados, recurso utilizado para tirar
# servidores y otras maldades (bug en Apache por ejemplo)
iptables -A INPUT -i eth0 -f -j LOG --log-prefix "Fragmento! "
iptables -A INPUT -i eth0 -f -j DROP

# Operar en localhost sin limitaciones
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

# Enmascaramiento
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE

# Navegacion desde el firewall
/sbin/iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

# Y tambien a webs seguras
/sbin/iptables -A INPUT -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Permitimos la consulta a un primer DNS desde el firewall
/sbin/iptables -A INPUT -s 200.40.220.245 -p udp -m udp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -d 200.40.220.245 -p udp -m udp --dport 53 -j ACCEPT

# Permitimos la consulta a un segundo DNS
iptables -A INPUT -s 200.40.30.245 -p udp -m udp --sport 53 -j ACCEPT
iptables -A OUTPUT -d 200.40.30.245 -p udp -m udp --dport 53 -j ACCEPT

# Squid transparente
iptables -t nat -A PREROUTING -s 192.168.10.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Permitir msn
/sbin/iptables -A INPUT -p tcp -m tcp --sport 1863 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 1863 -j ACCEPT

El problema sería poder navegar a través del proxy transparente, y si se puede dejar este firewall más seguro con drop en forward.
Cualquier consejo será bienvenido en cuanto al script aunque no sea lo que consulto.

Muchas gracias por su tiempo a todos.

Páginas