firewall в linux

Ужос. А можно по-русски, что нужно сделать в итоге?

Попробую по-русски (просто не умею я по-русски)..... есть локалка и шлюз, который просто роздает инет (squid, NAT и больше ничего ..), никаких сервисом на нем нет, в локалке на машынам з адресами 192.168.100.0/24 должны быть HTTP, FTP, ICQ, SMTP, POP3 ... нужно защитить локалку и сам шлюз (LINUX Suse), чтоб никто не смог проникнуть из инета в локалку .....

может быть подойдут правила типа: для шлюза: iptabels -A OUTPUT -p TCP --syn -j ACCEPT

iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p TCP -j DROP

и что-то такое для локалных маншын только уже в цепочке FORWARD

а разве можно при таких задачах и настройках проникнуть из инета в локалку? =)

настройок пока нету никаких ..... а разве нет ... я думаю что можна .....

а как?

если изначально в /proc/sys/net/ipv4/ip_forward записан 0, то при любых разрешающих правилах iptables для цепочки FORWARD ни один пакет между сетевыми интерфейсами не пройдет.

в /proc/sys/net/ipv4/ip_forward записана 1 ... вопрос только о настройке iptables

в дистрибутиве openvpn есть неплохой пример правил для iptables, что-то вроде firewall.sh

Тогда пиши правила для цепочки FORWARD, руководство тебе в помощь: http://gazette.linux.ru.net/rus/articles/index-iptables-tutorial.html

если это СуСе посмотри в ясте Security and Users Firewall. Пару дней назад настраивал, пока все пучком.

imho
>ipfw add check-state
>ipfw add deny tcp from any to any established
>ipfw add allow tcp from my-net to any setup keep-state
в мане по ipfw написано что эта штука:
protect a site from flood attacks involving fake TCP packets
кто нить знает что это значит??? т.е. каким образом меня пакет,
можно зафлудить. я думал это завист от количества а не от качества пакетов.

а вообще глянь вот топик там полно приемов против всякого рода 
flood атак.
http://www.linux.org.ru/jump-message.jsp?msgid=1145266

а вообще imho твой правила вполне жизнеспособны 
разве может добавить защиту от NEW not SYN