Добрый вечер форумчане)) . Вот собственно какой вопрос поставил я себе centos 5.4 и решил я через него раздать инет в локалку. Раньше работал только с freebsd и тамошим ipfw. Но вот решил перейти на линух. Подскажите правильно я настроил iptables или может чтото лишнее. Буду обоснованной критике ))).
Что мне нужно
1)пока тока натроить INPUT FORWARD
2)ssh
3)ftp
4)vnc
5)и еще в дальнейшем эта машина будет заменять и мой рабочий комп

# Generated by iptables-save v1.3.5 on Wed Dec 23 16:37:43 2009
*nat
:PREROUTING ACCEPT [12:2319]
:POSTROUTING ACCEPT [71:4558]
:OUTPUT ACCEPT [80:5661]
### "Это NAT
-A POSTROUTING -s 192.168.10.0/255.255.255.0 -j SNAT --to-source 192.168.0.3
COMMIT

*filter
:INPUT DROP [19:2599]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [9:1103]
:services - [0:0]
### ну это 127.0.0.1
-A INPUT -i lo -j ACCEPT
### Это пропускаю норм. соединения
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
### Это моя цепочка сам не знаю зачем сделал ) просто решил попробовать
-A INPUT -j services
### nmap показал что у меня открыты эти порты хотя по дефолту вроде как drop что мне не очень понятно? Но я всетаки решил их закрыть
-A OUTPUT -p tcp -m tcp --sport 111 -j DROP
-A OUTPUT -p tcp -m tcp --sport 631 -j DROP
-A OUTPUT -p tcp -m tcp --sport 766 -j DROP
-A OUTPUT -p tcp -m tcp --sport 2207 -j DROP
-A OUTPUT -p tcp -m tcp --sport 2208 -j DROP
-A OUTPUT -p tcp -m tcp --sport 5810 -j DROP
-A OUTPUT -p tcp -m tcp --sport 5811 -j DROP
-A OUTPUT -p tcp -m tcp --sport 6010 -j DROP
-A OUTPUT -p tcp -m tcp --sport 6011 -j DROP

-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
### dns
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
### http
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
### https
-A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
###icq
-A OUTPUT -p tcp -m tcp --dport 5190 -j ACCEPT
### ftp  только с определенного айпишника
-A services -s ххх.ххх.ххх.ххх -p tcp -m tcp --dport 21 -j ACCEPT
###ssh
-A services -p tcp -m tcp --dport 22 -j ACCEPT
###ну это мне vnc нужен аж целых 2
-A services -p tcp -m tcp --dport 5910 -j ACCEPT
-A services -p tcp -m tcp --dport 5911 -j ACCEPT
COMMIT

Вот собственно и все пока до цепочки forward еще не добрался интересно правильно ли я это сделал.