Собствено есть шлюз в локальной сети, на нем поднят сквид, бинд, дхсп. Два интерфейса,enp1s0 смотрит в инет, enp2s0 смотрит в локалку.
настройки iptables следующие:
# Таблица filter и её цепочки
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# Разрешаем связанные и установленые соединения
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# Разрешаем служебный icmp-трафик
-A INPUT -p icmp -j ACCEPT
# Разрешаем доверенный трафик на интерфейс loopback
-A INPUT -i lo -j ACCEPT
# Разрешаем ssh на порт 22
-A INPUT -i enp2s0 -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -j ACCEPT
# разрешаем web трафик в локальной сети
-A INPUT -i enp2s0 -p tcp -m conntrack --ctstate NEW -m tcp --dport 80 -j ACCEPT
# network.squid.proxy
-A INPUT -i enp2s0 -p tcp -m conntrack --ctstate NEW -m tcp --dport 3128 -j ACCEPT
# network.dns
-A INPUT -i enp2s0 -p tcp -m conntrack --ctstate NEW -m tcp --dport 53 -j ACCEPT
-A INPUT -i enp2s0 -p udp -m conntrack --ctstate NEW -m udp --dport 53 -j ACCEPT
# Запрещаем всё остальное для INPUT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
# Порядок и смысл правил для цепочек FORWARD и OUTPUT аналогичен INPUT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i enp2s0 -j ACCEPT
# -A FORWARD -o enp1s0 -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
# Включаем NAT для Директора
-A POSTROUTING -o enp1s0 -p all -s 192.168.1.30 -j SNAT --to-source 1х.х8.х1.1хх
COMMIT
Вопрос в чем, инет в локалке есть, но терзают смутные сомнения защищена ли локальная сеть при таких настройках? Если нет что добавить/убрать в правилах?