Debian 7 não compartilha internet

#Rede Modem
allow-hotplug eth0
auto eth0
iface eth0 inet dhcp

#Rede Saude
auto eth1
iface eth1 inet static
address 10.0.2.1
netmask 255.0.0.0
network 10.0.2.0

auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig eth0 up # line maintained by pppoeconf
provider dsl-provider

#!/bin/sh
### BEGIN INIT INFO
# Provides: firewall
# Required-Start: $local_fs $remote_fs $network $syslog
# Required-Stop: $local_fs $remote_fs $network $syslog
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Start firewall at boot time
# Description: Enable service provided by firewall.
### END INIT INFO
# ------------------------------------------------------------------------------------
# Firewall criado sem fins lucrativos, por favor, mantenha os créditos.
# (c) 2014, www.silasmatos.com.br under GNU/GPL v2.0+
# -------------------------------------------------------------------------------------
iniciar(){
# IP do servidor SQUID
SQUID_SERVER="10.0.2.1"
# Interface que se conecta com a internet
INTERNET="ppp0"
# Interface da rede local
LAN_IN="eth1"
# Porta do SQUID
SQUID_PORT="3128"

# NÃO MODIFIQUE AS LINHAS ABAIXO:
# LIMPAR FIREWALL
iptables -F
iptables -X
iptables -X -t filter
iptables -F -t filter
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
# CARREGAR MÓDULOS PARA NAT E SUPORTE PARA IP CONTRACK
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe iptable_nat
modprobe tun
# COMPARTILHAMENTO DE INTERNET.
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# DEFINIR POLITICAS DE ACESSO
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
# ACESSO ILIMITADO AO LOOPBACK
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# LIBERAÇÃO DE PORTAS
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p tcp --dport 3000 -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --dport 5900 -j ACCEPT
iptables -A INPUT -p tcp --dport 5931 -j ACCEPT
iptables -A INPUT -p tcp --dport 1863 -j ACCEPT
iptables -A INPUT -p udp --dport 1863 -j ACCEPT
iptables -A INPUT -p udp --dport 27015 -j ACCEPT

#bloqueando Ping
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

# PERMITIR UDP, DNS E FTP PASSIVO
iptables -A INPUT -i $INTERNET -m state --state ESTABLISHED,RELATED -j ACCEPT
# DEFINIR ESTE SISTEMA COMO O ROTEADOR PADRÃO PARA O RESTO DA LAN
iptables --table nat --append POSTROUTING --out-interface $INTERNET -j MASQUERADE
iptables --append FORWARD --in-interface $LAN_IN -j ACCEPT
# ACESSO ILIMITADO PELA LAN
iptables -A INPUT -i $LAN_IN -j ACCEPT
iptables -A OUTPUT -o $LAN_IN -j ACCEPT
# NAT PARA A PORTA 80 SOLICITADA PELA LAN PARA A PORTA DO SQUID 3128 ($SQUID_PORT) PROXY TRANSPARENTE
iptables -t nat -I PREROUTING -p tcp -i $LAN_IN --dport 80 -j REDIRECT --to-port 3128

# REJEITAR O RESTO E CRIAR LOG
iptables -A INPUT -j LOG
iptables -A INPUT -j DROP
echo "Firewall Habilitado"
}
parar(){
iptables -F
iptables -X
iptables -X -t filter
iptables -F -t filter
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
echo "Firewall desabilidatado"
}
case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parâmetros start, stop ou restart"
esac

#
# Configuração mínima recomendada:
#

# Exemplo de regras permitindo o acesso às redes locais.
# Adapte a lista abaixo às suas redes (internas) onde a navegação
# deve ser permitida:
acl localhost src 10.0.0.0/8 # RFC1918 possible internal network
acl all src 0.0.0.0/0.0.0.0
# IPs da rede
acl ip_liberados src "/etc/squid/ips/ip_liberados"
acl nonet src "/etc/squid/ips/nonet"
#
acl SSL_ports port 443 563 # https
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais z39.50
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl manager proto cache_object
acl HTTP proto http
acl purge method PURGE
acl CONNECT method CONNECT
#
# Configuração mínima recomendada para permissões de acesso:
#
# Permite que somente localhost acesse o cachemgr:
http_access allow localhost manager
http_access deny manager


# Nega requisições de certas portas inseguras:
http_access deny !Safe_ports

# Nega conexão a outras portas que não sejam SSL seguras:
http_access deny CONNECT !SSL_ports

#
# INSIRA NESTE LOCAL SUAS PRÓPRIAS REGRAS.
# RECOMENDA-SE PRIMEIRO FAZER AS LIBERAÇÕES E DEPOIS OS BLOQUEIOS.
#
acl perm_pal url_regex "/etc/squid/sites/perm_pal"
acl perm_url dstdom_regex "/etc/squid/sites/perm_url"
acl perm_dom dstdomain "/etc/squid/sites/perm_dom"
http_access allow perm_pal
http_access allow perm_url
http_access allow perm_dom

#
# LIBERAR RECEPCAO
#
acl sites_nonet url_regex "/etc/squid/sites/sites_nonet"
http_access allow nonet sites_nonet

#
#bloquear radios e downloads
#
reply_body_max_size 3145728 allow all
acl mimes rep_mime_type -i "/etc/squid/sites/mimes"
acl bloq_dow urlpath_regex -i "/etc/squid/sites/bloq_dow"
acl perm_eml dstdomain "/etc/squid/sites/perm_eml"
http_access deny bloq_dow !perm_eml !ip_liberados !perm_url !perm_dom
http_reply_access deny mimes !perm_eml !ip_liberados !perm_url !perm_dom

#
#bloqear sites
#
acl bloq_pal url_regex "/etc/squid/sites/bloq_pal"
acl bloq_url dstdom_regex "/etc/squid/sites/bloq_url"
acl bloq_dom dstdomain "/etc/squid/sites/bloq_dom"
http_access deny bloq_pal !ip_liberados
http_access deny bloq_url !ip_liberados
http_access deny bloq_dom !ip_liberados


#
# FIM
#
#

# Exemplo de regra permitindo o acesso de suas redes locais.
# Adapte "localnet" na seção ACL para listar as suas redes
# (internas) de IP a partir de onde se deve permitir a navegação
http_access allow localhost

# E, finalmente, negue qualquer outro acesso a este proxy
http_access deny all
http_access deny nonet


# O Squid normalmente escuta na porta 3128
# Para proxy transparente coloque "intercept" depois de 3128
# http_port 3128
http_port 3128 transparent
#

# Especifica a quantidade ideal de memória a ser utilizada. Cuide
# para que não falte memória para o sistema operacional e para os
# outros serviços instalados na máquina.
# Default:
cache_mem 256 MB
#

# Objetos maiores que este tamanho não serão mantidos no cache de
# memória. Deve ter um valor suficiente para guardar objetos
# acessados com frequência na memória de modo a melhorar o
# desempenho, mas suficientemente baixo para manter
# objetos maiores.
#Default:
maximum_object_size_in_memory 512 KB
#

# Diretório de cache. É o número em MB de quanto seu Squid pode
# usar do disco. Sempre que o Squid atingir esse valor ele mesmo
# excluirá os objetos mais antigos do cache.
cache_dir ufs /var/spool/squid/ 2048 16 256
#

# heap GDSF : Greedy-Dual Size Frequency
# Otimiza o HIT Ratio de objetos mantendo os arquivos menores e
# populares no cache e obtém uma melhor chance de acontecer um
# HIT. HIT significa que o documento foi encontrado no cache.
# MISS, que não foi encontrado no cache. Um Hit negativo significa
# que foi encontrado no cache, mas não existe.
cache_replacement_policy heap LFUDA
#

# heap LFUDA: Least Frequently Used with Dynamic Aging
# Procura manter no cache arquivos populares, independente do
# tamanho, otimizando assim o Byte HIT em detrimento do HIT.
memory_replacement_policy heap GDSF
#

# Objetos menores do que esse tamanho não serão salvos em disco. O
# valor é especificado em kilobytes, e o padrão é 0 KB, o que
# significa que não existe mínimo.
#Default:
minimum_object_size 0 KB
#

# Limite do tamanho dos objetos armazenados no disco.
# Este tamanho é usado pelo cache_dir. O valor é especificado em
# bytes. Se você deseja obter uma alta taxa de acerto em BYTES,
# você deve aumentar este valor. Se você quiser aumentar a taxa de
# acerto mais do que poupar largura de banda você deve deixar este
# valor baixo.
# NOTA: se estiver usando a política de substituição LFUDA você
# deve aumentar este valor para maximizar a taxa de acerto do byte
# hit LFUDA!
#Default:
maximum_object_size 4 MB

#
# Os padrões são 90% e 95%. Se você tem um grande cache, 5% pode
# representar centenas de MB. Se este for o caso, você pode querer
# definir números mais próximos.
#Default:
cache_swap_low 90
#Default:
cache_swap_high 95
# Arquivos de log das requisições dos clientes.
#Default:
cache_access_log /var/log/squid/access.log
access_log /var/log/squid/access.log
#
# Por padrão o Squid deixa os arquivos principais no diretório de
# onde foi iniciado. Deixe coredump no primeiro diretório de
# cache.
coredump_dir /etc/squid/var/cache/squid

# Adicione qualquer uma das suas próprias entradas refresh_pattern
# acima destas:
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320

httpd_suppress_version_string off # suprime a versão do Squid
visible_hostname Proxy Sec. da Saude

ddns-update-style none;

option domain-name "example.org";
option domain-name-servers ns1.example.org, ns2.example.org;

default-lease-time 600;
max-lease-time 7200;

log-facility local7;

# ####NEGADOS


# Saude

subnet 10.0.0.0 netmask 255.0.0.0 {
deny client-updates;
deny unknown-clients;
authoritative;
option domain-name-servers 201.10.128.2 , 201.10.1.2;
option routers 10.0.2.1;
range 10.0.2.240 10.0.2.240;
}

#DESKTOPS

host SMS-CPD {
hardware ethernet 44:1E:A1:77:77:0E;
fixed-address 10.0.2.2;
}