Firewall DROP [RESOLVIDO]

renato_pacheco
(usa Debian)

Enviado em 04/07/2010 - 16:47h

Assim, bloquear todas as saídas d FORWARD e liberar apenas o q vc quer não é uma tarefa fácil pois, como disse anteriormente, vc deve conhecer bem o protocolo pra fazer uma coisa dessas. Aconselho vc estudar mais sobre os principais protocolos pra vc sair bloqueando tudo. Vou dar um exemplo: quando bloqueamos todo INPUT, devemos liberar aquilo q é necessário. Tem aplicativos q necessitam liberar a interface local (lo). Então não é uma tarefa fácil, como disse. São detalhes q podem t afogar, entende? Faça isso aos poucos q vc vai melhorando o seu firewall.

R.S.P Andre
(usa Debian)

Enviado em 04/07/2010 - 16:53h

Falow Renato.
Cara realmente eu percebi que não é facil não, mais estou seguindo o conselho seu e do amigo Irado.
Vou continuar estudando por aqui e em breve estarei com um firewall em pleno funcionamento.
Assim que meu firewall estiver organizado e depois de testado vo postar ele.

Cara mais um vez obrigado pela sua paciência ai ein.

Um Abraço!!

GuilhermeBR
(usa CentOS)

Enviado em 05/07/2010 - 14:18h

Fala pessoal,

Eu também estava com esse problema. Setei como DROP o INPUT e FORWARD, e não navegava.

Resolvi assim:

INPUT:
# DROPA tudo que não for liberado
$iptables -P INPUT DROP

# Aceita pacotes estabelecidos
$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Rede interna pro firewall
$iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT

FORWARD:

# DROPA tudo que não for liberado
$iptables -P FORWARD DROP

# Aceita pacotes estabelecidos
$iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Portas que passam pelo firewall
$iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
$iptables -A FORWARD -p udp --dport 53 -j ACCEPT
$iptables -A FORWARD -p tcp --dport 3128 -j ACCEPT

Bom é só isso pra navegar. Sendo que no meu caso, não foi preciso liberar a porta 80 no forward, pois ela está sendo redirecionada pro squid, porta 3128.

lucas_vga
(usa Ubuntu)

Enviado em 05/07/2010 - 14:29h

Fala galera... Boa tarde, demorei a responder pois estava estudando mais sobre o assunto... Como vocês mesmos disseram, o erro esta sendo um pouco de falta de conhecimento.

Refiz todo meu firewall e agora está funcionando legal. segue abaixo ai para alguem que quer de modelo, meu problema ja foi solucionado (em principio). Estou aberto para sugestões neste codigo, para melhorias e tbm otimizar. Varias cabeças pensão melhor que uma... rs...

Segue:

------------------------------------------------------------
#!/bin/bash

EXTERNA="eth2"
INTERNA="eth1"

ipt=$(which iptables)

## Carregar modulos
echo "Carregando Modulos"
sleep 0.3
# fazer NAT, de forma geral compatilhada a internet com forward
/sbin/modprobe iptable_nat
# resolve os problemas de FTP, sempre que tiver problemas com acesso a sites
# de FTP, lentidao, acesso, tente carregar estes modulos de FTP
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
# utilizado nas opcoes que geram log.
/sbin/modprobe ipt_LOG

/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
echo "Modulos Carregados [OK]"

## Zera as regras existentes
echo "Limpando regras existentes"
sleep 0.3
$ipt -F
$ipt -X
$ipt -F -t nat
$ipt -X -t nat
$ipt -F -t mangle
$ipt -X -t mangle
echo "Regras resetadas [OK]"

## Fechando regras padroes
echo "Fechando as regras padroes"
sleep 0.3
$ipt -P INPUT DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD DROP
echo "Regras padroes fechadas [OK]"


## ACCEPT (libera) pacotes de retorno da internet
$ipt -A INPUT -i $EXTERNA -j ACCEPT
$ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
$ipt -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT


## NAT para os demais serviços que trabalham em outras portas,
# como exemplo, libera o acesso a cliente de email e ssh
$ipt -A POSTROUTING -t nat -o $EXTERNA -j MASQUERADE
$ipt -A FORWARD -i $EXTERNA -j ACCEPT
echo "1" > /proc/sys/net/ipv4/ip_forward

## Aceita conexos externas do DNS
$ipt -A INPUT -i $EXTERNA -p tcp --dport 53 -j ACCEPT
$ipt -A INPUT -i $EXTERNA -p udp --dport 53 -j ACCEPT
$ipt -A INPUT -i $INTERNA -p tcp --dport 53 -j ACCEPT
$ipt -A INPUT -i $INTERNA -p udp --dport 53 -j ACCEPT
$ipt -A FORWARD -i $EXTERNA -p tcp --dport 53 -j ACCEPT
$ipt -A FORWARD -i $EXTERNA -p udp --dport 53 -j ACCEPT

## Libera acesso externo para ssh e servidor web
$ipt -A INPUT -p tcp --dport 80 -i $EXTERNA -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -i $INTERNA -j ACCEPT
$ipt -A INPUT -p tcp --dport 22 -i $EXTERNA -j ACCEPT
$ipt -A INPUT -p tcp --dport 22 -i $INTERNA -j ACCEPT

--------------------------------------------------------------------------------------

Sugestões?

GuilhermeBR
(usa CentOS)

Enviado em 05/07/2010 - 14:43h

Lucas,

Li seu código, somente até o inicio das regras ACCEPT. E já achei 4 erros (ao meu ver). São elas:

$ipt -A INPUT -i $EXTERNA -j ACCEPT
$ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
$ipt -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

A variável $EXTERNA, é a placa de internet certo? Dessa forma, seu firewall, vai aceitar conexão com qualquer porta. Ou seja, seu firewall está todo aberto.

Mesma coisa ao carregar o módulo state. Nunca defina o NEW como padrão no FORWARD e INPUT. Dessa forma, vai passar qualquer conexão pelo seu firewall.

lucas_vga
(usa Ubuntu)

Enviado em 05/07/2010 - 15:03h

Guilherme vlw pela dica fiz alterações... agora...e tive que colocar mais algumas linhas...

Verifica se está correto oq fiz

---------------------------------------------------------

## ACCEPT (libera) pacotes de retorno da internet
#$ipt -A INPUT -i $EXTERNA -j ACCEPT
$ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
$ipt -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


## Libera acesso externo para ssh e servidor web
$ipt -A INPUT -p tcp --dport 80 -i $EXTERNA -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -i $INTERNA -j ACCEPT
$ipt -A FORWARD -p tcp --dport 80 -i $EXTERNA -j ACCEPT
$ipt -A FORWARD -p tcp --dport 80 -i $INTERNA -j ACCEPT


----------------------------------------------------------------------------------

Tirei oq vc havia dito e liberei a porta 80 como FORWARD...}



Esta correto?

irado
(usa XUbuntu)

Enviado em 05/07/2010 - 15:06h

como a POLITICA de OUTPUT é accept, qualquer outra referencia a output é dispensável.

essa máquina tem um servidor http ativo? se tem, tudo bem, se NÃO TEM, não há porque accept porta 80 no INPUT.

forward da $EXTERNA? por que? e fwd PARA ONDE?

GuilhermeBR
(usa CentOS)

Enviado em 05/07/2010 - 15:19h

Essas 2 regras, ok!
$ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Essa não é necessária:
$ipt -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

Na output, vc pode deixar:
$ipt -P OUTPUT ACCEPT

Para acesso da rede interna pro firewall, faça assim:
$ipt -A INPUT -i $INTERNA -j ACCEPT

Assim, vc pode excluir essa 2 linhas:
$ipt -A INPUT -p tcp --dport 80 -i $INTERNA -j ACCEPT
$ipt -A FORWARD -p tcp --dport 80 -i $INTERNA -j ACCEPT

Vc tem algum aplicativo web, que roda no seu servidor? Se não tiver, pode apagar essa linha:
$ipt -A INPUT -p tcp --dport 80 -i $EXTERNA -j ACCEPT

Vc usa squid? Fez redirecionamento pra porta 3128? Se sim, vc pode apagar essa linha:
$ipt -A FORWARD -p tcp --dport 80 -i $EXTERNA -j ACCEPT

Se não usa Squid, deixa a linha anterior assim:
$ipt -A FORWARD -p tcp --dport 80 -j ACCEPT

R.S.P Andre
(usa Debian)

Enviado em 05/07/2010 - 21:10h

Fala ai pessoal!
cara depois de um monte de tentativas e erros e muita leitura acredito que estou chegando lá (eu acho. rsrs)

segue o meu firewall de teste atual:

echo "############# DEFININDO POLITICA PADRÃO #################"
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
echo "################# PADRÃO ESTABELECIDO ###################"
echo "#########################################################"

echo "########## ATIVANDO MÓDULO e COMPARTILHANDO NET #########"
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo "############## NET COMPARTILHADA #######################"
echo "########################################################"

echo "########## ACEITANDO CONEXOES DA INTERNET E LO #########"
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state INVALID -j DROP
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ppp0 -p icmp -j ACCEPT
iptables -A INPUT -p tcp --dport 2224 -j ACCEPT #SSH
echo "############# REGRA INTERNET ESTABELECIDA ##############"
echo "########################################################"

echo "############### DEFININDO REGRAS LOCAL #################"
# Ps para bloquear input por mac
#iptables -A INPUT -i eth1 -m mac --mac-source 08:00:27:83:7b:48 -j REJECT
# ou para aceitar somente determinados mac######################
############### Requisição ping #############################
iptables -A INPUT -s 192.168.10.70 -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.10.0/24 -p icmp -j DROP
########################## REDE INTERNA ##########################
iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT

echo "############## ESSENCIAL REDE INTERNA LIBERADO##########"
echo "########################################################"
echo "############ DEFININDO FORWARD REDE INTERNA ############"
#ps para bloquer o mac ou ip a determinado site ou a tudo ##
#iptables -A FORWARD -m mac --mac-source 08:00:27:83:7b:48 -j REJECT
#iptables -A FORWARD -s 192.168.10.50 -d www.orkut.com -j DROP
############### FORWARD DE PING ###########################
iptables -A FORWARD -s 192.168.10.0/24 -p icmp -j ACCEPT
################### Pacotes##############################
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#################### PORTA 80 ############################
iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 80 -j ACCEPT
###################### PORTA 53 DNS ###########################
iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.10.0/24 --dport 53 -j ACCEPT
###################### PORTA HTTPS #######################
iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 443 -j ACCEPT
##################### POP E SMTP ##################
iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 465 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 995 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 587 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 110 -j ACCEPT
echo "############# REGRAS FORWARD SETADAS COM SUCESSO #########"
echo "##########################################################"


se os amigos puderem da uma analizada e me dar umas dicas ficarei grato ^^

ABS

lucas_vga
(usa Ubuntu)

Enviado em 06/07/2010 - 09:44h

Fala galera do VoL...

Acabei de "Terminar" meu firewall, saiu do forno agora... rs... Fiz alguns testes em uns sites, parece estar legal... mas gostaria da opnião de vocês... Oq acham? Segue abaixo o codigo...


----------------------------------------------------------------------------------------------

#!/bin/bash

EXTERNA="eth2"
INTERNA="eth1"

ipt=$(which iptables)

## Carregar modulos
# -------------------------------------------------------
echo "Carregando Modulos"
sleep 0.3
# fazer NAT, de forma geral compatilhada a internet com forward
/sbin/modprobe iptable_nat
# resolve os problemas de FTP, sempre que tiver problemas com acesso a sites
# de FTP, lentidao, acesso, tente carregar estes modulos de FTP
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
# utilizado nas opcoes que geram log.
/sbin/modprobe ipt_LOG

/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
echo "Modulos Carregados [OK]"

## Zera as regras existentes
# -------------------------------------------------------
echo "Limpando regras existentes"
sleep 0.3
$ipt -F
$ipt -X
$ipt -F -t nat
$ipt -X -t nat
$ipt -F -t mangle
$ipt -X -t mangle
echo "Regras resetadas [OK]"

## Fechando regras padroes
# -------------------------------------------------------
echo "Fechando as regras padroes"
sleep 0.3
$ipt -P INPUT DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD DROP
echo "Regras padroes fechadas [OK]"

## ACCEPT (libera) pacotes de retorno da internet
# -------------------------------------------------------
$ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#$ipt -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
$ipt -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

## NAT para os demais servicos que trabalham em outras portas,
# como exemplo, libera o acesso a cliente de email e ssh
$ipt -A POSTROUTING -t nat -o $EXTERNA -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward

# Proteç contra IP spoofing
# -------------------------------------------------------
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

## Aceita conexos externas do DNS
# -------------------------------------------------------
$ipt -A INPUT -i $INTERNA -p tcp --dport 53 -j ACCEPT
$ipt -A INPUT -i $INTERNA -p udp --dport 53 -j ACCEPT

## Libera acesso da rede interna para o firewall
# -------------------------------------------------------
$ipt -A INPUT -i $INTERNA -j ACCEPT

## Libera acesso externo para servidor web
# -------------------------------------------------------
$ipt -A INPUT -p tcp --dport 80 -i $EXTERNA -j ACCEPT
#$ipt -A INPUT -p tcp --dport 80 -i $INTERNA -j ACCEPT
$ipt -A FORWARD -p tcp --dport 80 -i $EXTERNA -j ACCEPT
$ipt -A FORWARD -p tcp --dport 80 -i $INTERNA -j ACCEPT

## Libera https e snews
# -------------------------------------------------------
$ipt -A FORWARD -p tcp --dport 443 -i $EXTERNA -j ACCEPT
$ipt -A FORWARD -p tcp --dport 443 -i $INTERNA -j ACCEPT

## Libera acesso ssh
# -------------------------------------------------------
#$ipt -A INPUT -p tcp --dport 22 -i $EXTERNA -j ACCEPT
#$ipt -A INPUT -p tcp --dport 22 -i $INTERNA -j ACCEPT

## Liberando servico de ftp
# -------------------------------------------------------
$ipt -A FORWARD -p tcp --dport 20 -j ACCEPT
$ipt -A FORWARD -p tcp --dport 21 -j ACCEPT

## Liberar acesso ao msn
# -------------------------------------------------------
iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -d loginnet.passport.com -j ACCEPT
iptables -A FORWARD -d 64.4.13.0/24 -j ACCEPT
iptables -A FORWARD -d login.live.com -j ACCEPT
iptables -A FORWARD -d login.passport.com -j ACCEPT
iptables -A FORWARD -d gateway.messenger.hotmail.com -j ACCEPT

## Libera POP e SMTP
# -------------------------------------------------------
$ipt -A FORWARD -p tcp --dport 465 -j ACCEPT
$ipt -A FORWARD -p tcp --dport 995 -j ACCEPT
$ipt -A FORWARD -p tcp --dport 25 -j ACCEPT
$ipt -A FORWARD -p tcp --dport 587 -j ACCEPT
$ipt -A FORWARD -p tcp --dport 110 -j ACCEPT

## Libera um pc pelo mac para acessar sem firewall
# -------------------------------------------------------
#iptables -t nat -A PREROUTING -p tcp -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

# Protecao contra trinoo
# -------------------------------------------------------
$ipt -N TRINOO
$ipt -A TRINOO -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trinoo: "
$ipt -A TRINOO -j DROP
$ipt -A INPUT -p TCP -i $EXTERNA --dport 27444 -j TRINOO
$ipt -A INPUT -p TCP -i $EXTERNA --dport 27665 -j TRINOO
$ipt -A INPUT -p TCP -i $EXTERNA --dport 31335 -j TRINOO
$ipt -A INPUT -p TCP -i $EXTERNA --dport 34555 -j TRINOO
$ipt -A INPUT -p TCP -i $EXTERNA --dport 35555 -j TRINOO

# Protecao contra tronjans
# -------------------------------------------------------
$ipt -N TROJAN
$ipt -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trojan: "
$ipt -A TROJAN -j DROP
$ipt -A INPUT -p TCP -i $EXTERNA --dport 666 -j TROJAN
$ipt -A INPUT -p TCP -i $EXTERNA --dport 666 -j TROJAN
$ipt -A INPUT -p TCP -i $EXTERNA --dport 4000 -j TROJAN
$ipt -A INPUT -p TCP -i $EXTERNA --dport 6000 -j TROJAN
$ipt -A INPUT -p TCP -i $EXTERNA --dport 6006 -j TROJAN
$ipt -A INPUT -p TCP -i $EXTERNA --dport 16660 -j TROJAN

# Protecao contra worms
# -------------------------------------------------------
$ipt -A FORWARD -p tcp --dport 135 -i $INTERNA -j REJECT

# Protecao contra syn-flood
# -------------------------------------------------------
$ipt -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT

# Protecao contra ping da morte
# -------------------------------------------------------
$ipt -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

----------------------------------------------------------------------------------------------


Alguem tem algum comentário? Alguma dica? Ta legal?..>

No aguardo... Vlw Galera!

irado
(usa XUbuntu)

Enviado em 06/07/2010 - 10:50h

lucas vga:

todos os comandos que NÃO SEJAM regras, costumamos colocar fora das regras ;)

êste, por exemplo: echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

iria para o começo do arquivo.

nas regras a seguir, as duas primeiras são desnecessárias, caso vc mantenha a terceira; contudo.. POR QUE eu haveria de querer acesso total/geral/irrestrito a esta máquina? ;)

$ipt -A INPUT -i $INTERNA -p tcp --dport 53 -j ACCEPT
$ipt -A INPUT -i $INTERNA -p udp --dport 53 -j ACCEPT

## Libera acesso da rede interna para o firewall (por que? por que? por que?)
# -------------------------------------------------------
$ipt -A INPUT -i $INTERNA -j ACCEPT

## Libera https e snews --> o que é snews? só vi https. Normalmente podemos agrupar portas:

$ipt -A INPUT -p tcp -m multiport --dports ssh,http,https -i $EXTERNA -j ACCEPT

no original vc coloca FORWARD.. pra onde? não tem redirecionamento. É INPUT já que vc (erradamente) coloca tudo o que pode nessa pobre máquina.

## Liberando servico de ftp --> faltou dizer que -i $INTERNA; vc não quer alguém xeretando sua máquina, quer?

## Libera POP e SMTP - novamente, podemos usar multiplas portas:

$ipt -A FORWARD -p tcp -m multiport --dports smtp,smtps,pop3,pop3s,submission -j ACCEPT

é incomum usarmos smtps,pop3s.. tem certeza?

# Protecao contra trinoo --> muito bom pra impressionar o chefe, pedir aumento.. mas se êle entender UM BOCADINHO já vai dizer pra vc: "se a politica de INPUT é DROP, pra que vc coloca essas linhas?" ;)

# Protecao contra worms --> idem

# Protecao contra syn-flood --> idem

# Protecao contra ping da morte

experimente êste:
iptables -t filter -A INPUT -p icmp -m icmp --icmp-type echo-request -m limit --limit 5/sec --limit-burst 5 -j ACCEPT

note que NÃO É FORWARD, vc não quer que o SEU firewall fique 'entupido'.

finalmente:

a) agrupe os comandos que NÃO SÃO regras no inicio do arquivo
b) agrupe as regras pelas suas funções: INPUT, OUTPUT, FORWARD bem separadas.
c) quando vc tem politicas DENY (o que está certo), qualquer outro reject/deny serve apenas pra encher linguiça e (talvez) os zoinhos do seu chefe (aquêle um que não entende po**a alguma de coisa nenhuma). Mas só êle.

d) vc NÃO está liberando sua interface lo e o seu localhost:
$IPT -t filter -A INPUT -i lo -j ACCEPT
$IPT -t filter -A INPUT -s 127.0.0.1 -j ACCEPT

irado
(usa XUbuntu)

Enviado em 06/07/2010 - 11:02h

r.s.p.andre
iptables -A INPUT -i lo -j ACCEPT
faltou o localhost (vide post para o lucas vga)

mesma pergunta básica: se sua POLITICA é DROP, pra que vc quer impressionar o chefe?
iptables -A INPUT -i ppp0 -m state --state INVALID -j DROP ?????

iptables -A INPUT -i ppp0 -p icmp -j ACCEPT <-- isto deixa vc sujeito a "ping flood", também conhecido como "ping da morte". Use êste:

$IPT -t filter -A INPUT -p icmp -m icmp --icmp-type echo-request -m limit --limit 5/sec --limit-burst 5 -j ACCEPT
#iptables -A INPUT -i eth1 -m mac --mac-source 08:00:27:83:7b:48 -j REJECT <-- de novo: pra que? a politica é DROP..

olha aí o risco de "ping flood":
############### Requisição ping #############################
iptables -A INPUT -s 192.168.10.70 -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.10.0/24 -p icmp -j DROP
########################## REDE INTERNA ##########################

vc gosta de arriscar a vida, já vi tudo.. que tal um bung jump sem corda?

iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT

por que vc há de querer que todo mundo acesse êste firewall? já basta a sua ou (eventualmente) o seu auxiliar.

echo "############ DEFININDO FORWARD REDE INTERNA ############"
#ps para bloquer o mac ou ip a determinado site ou a tudo ##
#iptables -A FORWARD -m mac --mac-source 08:00:27:83:7b:48 -j REJECT
#iptables -A FORWARD -s 192.168.10.50 -d www.orkut.com -j DROP

isso aí vc quer dizer O CONTRÁRIO; se a sua politica é DROP, ninguém navega até que vc libere. Ou vc fwd todo mundo ou então apenas alguns. CONTUDO, eu prefiro fazer isso pelo squid.

iptables -A FORWARD -s 192.168.10.0/24 -p icmp -j ACCEPT

se vai libear POR PROTOCOLO... tá ferrado. Até achar TODOS os protocolos que os malditos sites usam, vc vai passar por fortes apuros.

iptables -A FORWARD -m state --state INVALID -j DROP

mas vc QUER MESMO impressionar seu chefe, hein? risos - veja que COM ALGUNS até cola.. provavelmente não comigo ;)

iptables -A FORWARD -p tcp -s 192.168.10.0/24 --dport 80 -j ACCEPT

é como eu disse: vc pode liberar CONJUNTOS de protocolos/portas, mas (IMHO) é melhor fwd geral pra rede e só aceitar (input) os serviços que vc DE FATO tenha nesta máquina.

no mais as recomendações de praxe: agrupamento lógico, limpeza.. e MINIMAS regras.