Надо полагать, что вся связь с внешним миром из рабочей сети должна осуществляться через proxy, тогда вам подойдёт это:
#!/bin/sh
#
# Путь к iptables
#
IPTABLES="/sbin/iptables"
#
# Очистка таблиц, установка политик в значения "по умолчанию"
#
#
# Установка стандартных политик в таблице filter.
#
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
#
# Установка стандартных политик в таблице nat.
#
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
#
# Установка стандартных политик в таблице mangle.
#
$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
#
# Удаление всех правил во всех таблицах.
#
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
#
# Удаление пользовательских правил во всех таблицах.
#
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
######################################################
# Конфигурационные настройки.
#
# ВЫКЛЮЧИТЬ forward
# Именно ВЫКЛЮЧИТЬ, этим мы запретим движение траффика
# МИМО локальных приложений
echo 0 > /proc/sys/net/ipv4/ip_forward
#
# Конфигурация интернет.
#
INET_IP="10.30.2.77"
INET_IFACE="eth1"
#
# Конфигурация рабочей сети.
#
LAN_IP="192.168.88.1" # ВНИМАНИЕ!!! Здесь должен быть ip вашего сетевого экрана
LAN_IP_RANGE="192.168.88.0/24"
LAN_IFACE="eth0"
#
# Конфигурация обратной петли Loopback.
#
LO_IFACE="lo"
LO_IP="127.0.0.1"
LO_IP_RANGE="127.0.0.0/8"
#
# Установка политик
#
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
# Открываем порты НА СЕТЕВОМ ЭКРАНЕ
# Для уже существующих TCP соединений
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
# Для вновь открываемых входящих TCP соединений
# Если надо ограничить доступ на определённый порт из какой-то одной сети,
# то правило приобретёт примерно такой вид:
# $IPTABLES -A INPUT -p tcp -m tcp -i $LAN_IFACE --dport 21 -j ACCEPT
# Это правило например разрешает доступ на FTP только из вашей рабочей сети.
$IPTABLES -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp --dport 8000 -j ACCEPT #Радио
$IPTABLES -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT #Антибаннер для прокси
$IPTABLES -A INPUT -p tcp -m tcp --dport 3128 -j ACCEPT #Прокси
#
# Фильтруем ИСХОДЯЩИЙ С СЕТЕВОГО ЭКРАНА траффик
#
# Эти правила разрешают уходить С СЕТЕВОГО ЭКРАНА только
# пакетам имеющим исходящий адрес принадлежащий сетевому экрану
$IPTABLES -A OUTPUT -p ALL -s $LO_IP_RANGE -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
#
# NAT
#
#
# PREROUTING
#
$IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
Скрипт имеет следующие свойства:
1, Отвечает требованиям общей политики построения экрана - "Что не разрешено, то запрещено."
2, Чистит таблицы при запуске
3, Позволяет подключаться к указанным портам из ОБЕИХ сетей (см комментарии в коде).
4, Разрешает движение траффика с сетевого экрана в случае если адрес отправителя есть адрес экрана.
5, Переброс запрсов идущих на 80 порт экрана из рабочей сети на 3128 порт.
6, Допускает движение ТОЛЬКО TCP пакетов.