Iptables bloqueando saida de emails

Galera boa tarde!

Tenho um FW iptables que está operando normal, só que direto os e-mails dos clientes outlook não saem, aí sou obrigado a zerar as regras "iptables -F" para os e-mails sairem, quando volto as regras eles continuam saindo normal e com o tempo voltam a parar de sair, ja fiz o teste na rede e ela está OK, alias funciona em modo gigabit.
Segue abaixo as regras que tenho para as portas 587 e 110.


não sei se falta alguma regra, pois acredito serem todas as necessarias

Boa tarde.

Não sei se ai estão todas as suas regras, caso não poste as restantes! Outra coisa uma dica é: deixa tudo default para ACCEPT no teu iptables e verifica se o problema continua acontecendo! Caso o problema pare de acontecer ai sim vc começar a fechar as portas! ( Seria uma boa medida para verificar os erros )

Aguardo

Olá amigo boa tarde.
Sim, desculpe se esqueci de mencionar, mas quando deixo o IPT aberto os emails saem, quando subo novamente continuam saindo, porém voltam a parar.

Essas são todas as regras relacionadas as portas SMTP e POP

Desculpe mais sem avaliar o restante do código não tenho como dar um parecer, existem outras coisas que estão influenciando tanto que quando vc desabilita o firewall tudo funciona, logo o problema não está restrito as suas políticas de correio!

Abs

Entendi, desculpe minha falta de conhecimento, segue abaixo o script

#!/bin/

# Acionado por /etc/init.d/firewall start

# Criado por Diogo Pereira - 18/06/2015



##### Conceitos ######

#

#PREROUTING. É o redirecionamento de portas permite fazer o repasse de conexões.

#Podemos redirecionar portas para um ip, repassar conexões com destino a uma porta para outra porta, e várias opções que podem ser exploradas

#

#INPUT consultado para dados que chegam à máquina

#

#FORWARD é consultado para dados que são redirecionados para outra interface de rede ou outra máquina

#

#OUTPUT é consultado para dados que saem da máquina.

#

######################



### Interfaces de rede

EXT=eth0

INT=eth1



#### Bloqueio de Acesso externo ao Apache Web #####

iptables -A INPUT -p tcp -d IP-EXTERNO --dport 80 -j DROP

iptables -A INPUT -p tcp -s IP-EXTERNO --dport 80 -j DROP





#Liberação do Whatsapp para os Celulares



iptables -A INPUT -p tcp --dport xmpp-client -j ACCEPT

iptables -A FORWARD -p tcp --dport xmpp-client -j ACCEPT

iptables -A OUTPUT -p tcp --dport xmpp-client -j ACCEPT

#iptables -A FORWARD -p udp --dport 3478 -j ACCEPT

#iptables -A FORWARD -p udp --dport 3497 -j ACCEPT

#iptables -A FORWARD -p udp --dport 16384 -j ACCEPT

#iptables -A FORWARD -p udp --dport 16387 -j ACCEPT

#iptables -A FORWARD -p udp --dport 16293 -j ACCEPT

#iptables -A FORWARD -p udp --dport 16402 -j ACCEPT

iptables -A FORWARD -p tcp --dport 5222 -j ACCEPT

iptables -A FORWARD -p tcp --dport 5223 -j ACCEPT

iptables -A FORWARD -p tcp --dport 4244 -j ACCEPT

iptables -A FORWARD -p tcp --dport 5228 -j ACCEPT

iptables -A FORWARD -p tcp --dport 5242 -j ACCEPT



# Liberação do IP whatsapp.



for w in $(cat /etc/firewall/whatsapp.txt)

do



iptables -A FORWARD -p tcp -d $w --dport 443 -j ACCEPT



done



# bloqueio SSL aos pcs da lista sem acesso e fora do range IP fixo.



for b in $(cat /etc/firewall/block.txt)

do

iptables -A OUTPUT -p tcp -d $b --dport 443 -j DROP

iptables -A OUTPUT -p tcp -d $b --sport 443 -j DROP

iptables -A FORWARD -p tcp -d $b --dport 443 -j DROP

iptables -A FORWARD -p tcp -d $b --sport 443 -j DROP



done



iptables -A FORWARD -p tcp --dport 443 -m iprange --src-range 192.168.11.100-192.168.11.200 -j DROP

iptables -A FORWARD -p tcp --sport 443 -m iprange --src-range 192.168.11.100-192.168.11.200 -j DROP





### INICIO FIREWALL GLOBAL####



### Regras INPUT



### informa os estados que devem ser checados (Conexão estabelecida ou Relacionada). Caso o estado da conexão seja uma dessas 2, então ele vai aceitar.

#iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT 



iptables -A INPUT -i lo -j ACCEPT 				  	# Libera o INPUT para a interface loopback, ou seja, a própria máquina

iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT 	# Permite icmp 0 (resposta de Echo)

iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT 	# Permite icmp 8 (Pedido de Echo) 

iptables -A INPUT -i tun0 -j ACCEPT



iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT #DNS

iptables -A INPUT -p udp -m udp --dport 53 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT #http

iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 110 -j ACCEPT #pop

iptables -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 587 -j ACCEPT #smtp

iptables -A INPUT -p tcp -m tcp --dport 587 -j ACCEPT 

iptables -A INPUT -p tcp -s 192.168.11.0/24 --dport 587 -j ACCEPT # SMTP

iptables -A INPUT -p tcp -s 192.168.11.0/24 --dport 110 -j ACCEPT # SMTP

iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT #ssl

iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 62696 -j ACCEPT #ssh

iptables -A INPUT -p tcp -m tcp --dport 62696 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 21 -j ACCEPT #ftp

iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 5900 -j ACCEPT #VNC

iptables -A INPUT -p tcp -m tcp --dport 5900 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 8245 -j ACCEPT #NO-IP

iptables -A INPUT -p tcp -m tcp --dport 8245 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 10050 -j ACCEPT #Zabbix

iptables -A INPUT -p tcp -m tcp --dport 10050 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 8081 -j ACCEPT #sunproxyadmin

iptables -A INPUT -p tcp -m tcp --dport 8081 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 8082 -j ACCEPT #us-cli - Utilistor 

iptables -A INPUT -p tcp -m tcp --dport 8082 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 21000 -j ACCEPT #irtrans - IRTrans Control

iptables -A INPUT -p tcp -m tcp --dport 21000 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 8080 -j ACCEPT #http-alt - HTTP Alternate 

iptables -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 2082 -j ACCEPT #infowave - Infowave Mobility Server

iptables -A INPUT -p tcp -m tcp --dport 2082 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 1194 -j ACCEPT #openvpn - OpenVPN

iptables -A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT 

iptables -A INPUT -p udp -m udp --sport 1194 -j ACCEPT #openvpn - OpenVPN

iptables -A INPUT -p udp -m udp --dport 1194 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --sport 137 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 137 -j ACCEPT 

iptables -A INPUT -p udp -m udp --sport 137 -j ACCEPT

iptables -A INPUT -p udp -m udp --dport 137 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --sport 809 -j ACCEPT #SPTRANS

iptables -A INPUT -p tcp -m tcp --dport 809 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --dport 7531 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --sport 37 -j ACCEPT #Relógio (time)

iptables -A INPUT -p tcp -m multiport -s 0/0 -d 192.168.11.254 --dport 3050,3051 -j ACCEPT #Firebird

iptables -A INPUT -p tcp -m multiport -s 0/0 -d 192.168.11.254 --dport 3000,3001 -j ACCEPT #ntop

iptables -A INPUT -p tcp -m multiport -s 0/0 -d 192.168.11.48 --dport 1433,1434 -j ACCEPT #SQL



iptables -A INPUT -i $INT -p udp -m udp --sport 137 -j ACCEPT #netbios-ns - NETBIOS Name Service

iptables -A INPUT -i $INT -p udp -m udp --dport 137 -j ACCEPT 

iptables -A INPUT -i $INT -p tcp -m tcp --sport 139 -j ACCEPT #netbios-ns - NETBIOS Name Service

iptables -A INPUT -i $INT -p tcp -m tcp --dport 139 -j ACCEPT 

iptables -A INPUT -i $INT -p udp -m udp --sport 139 -j ACCEPT 

iptables -A INPUT -i $INT -p udp -m udp --dport 139 -j ACCEPT 

iptables -A INPUT -i $INT -p tcp -m tcp --sport 22000 -j ACCEPT #snapenetio - SNAPenetIO - #alterado para eth1 "verificar se houver erros"

iptables -A INPUT -i $INT -p tcp -m tcp --sport 138 -j ACCEPT #netbios-dgm - NETBIOS Datagram Service

iptables -A INPUT -i $INT -p tcp -m tcp --dport 138 -j ACCEPT 

iptables -A INPUT -i $INT -p udp -m udp --sport 138 -j ACCEPT 

iptables -A INPUT -i $INT -p udp -m udp --dport 138 -j ACCEPT 

iptables -A INPUT -i $INT -p tcp -m tcp --sport 135 -j ACCEPT #epmap - DCE endpoint resolution

iptables -A INPUT -i $INT -p tcp -m tcp --dport 135 -j ACCEPT 

iptables -A INPUT -i $INT -p udp -m udp --sport 135 -j ACCEPT 

iptables -A INPUT -i $INT -p udp -m udp --dport 135 -j ACCEPT 

iptables -A INPUT -i $INT -p tcp -m tcp --sport 445 -j ACCEPT #microsoft-ds - Microsoft-DS

iptables -A INPUT -i $INT -p tcp -m tcp --dport 445 -j ACCEPT 

iptables -A INPUT -i $INT -p udp -m udp --sport 445 -j ACCEPT 

iptables -A INPUT -i $INT -p udp -m udp --dport 445 -j ACCEPT 

iptables -A INPUT -i $INT -p tcp -m tcp --dport 3128 -j ACCEPT #Redirecionaento squid

iptables -A INPUT -i $INT -p tcp -m tcp --dport 80 -j ACCEPT #http

iptables -A INPUT -i $INT -p tcp -m tcp --sport 80 -j ACCEPT #http

iptables -A INPUT -i $INT -p tcp -m tcp --sport 81 -j ACCEPT 

iptables -A INPUT -i $INT -p tcp -m tcp --dport 81 -j ACCEPT

iptables -A INPUT -i $INT -p icmp -j ACCEPT



iptables -A INPUT -i lo -p udp -m udp --sport 137 -j ACCEPT #netbios-ns - NETBIOS Name Service

iptables -A INPUT -i lo -p udp -m udp --dport 137 -j ACCEPT 

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -p udp -j ACCEPT 

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -p tcp -j ACCEPT 



#iptables -t filter -A INPUT -m limit --limit 4/min -j LOG --log-prefix "INP_DROP -- DENY Policy " --log-level 6 



iptables -A INPUT -j DROP



### Regras OUTPUT



iptables -A OUTPUT -p tcp -m multiport -s 0/0 -d 192.168.11.254 --sport 3000,3001 -j ACCEPT #Firebird

iptables -A OUTPUT -p tcp -m multiport -s 0/0 -d 192.168.11.254 --sport 3050,3051 -j ACCEPT #ntop

iptables -A OUTPUT -p tcp -m multiport -s 0/0 -d 192.168.11.48 --sport 1433,1434 -j ACCEPT  #SQL

iptables -I OUTPUT -p tcp -m string --algo bm --string "teamviewer" -m multiport --dport 80,443,5389 -j ACCEPT



### Regras FORWARD



# Contra Ping da Morte

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP





iptables -A FORWARD -p udp --sport 53 -j ACCEPT 	#dns

iptables -A FORWARD -p udp --dport 53 -j ACCEPT

iptables -A FORWARD -s 192.168.11.0/24 -p tcp --dport 110 -j ACCEPT # POP3

iptables -A FORWARD -s 192.168.11.0/24 -p tcp --dport 587 -j ACCEPT # SMTP

iptables -A FORWARD -p tcp --sport 587 -j ACCEPT 	#smtp

iptables -A FORWARD -p tcp --dport 587 -j ACCEPT 

iptables -A FORWARD -p tcp --sport 110 -j ACCEPT 	#pop

iptables -A FORWARD -p tcp --dport 110 -j ACCEPT

iptables -A FORWARD -p tcp --dport 993 -j ACCEPT	#Imap

iptables -A FORWARD -p tcp --sport 993 -j ACCEPT

iptables -A FORWARD -p tcp --dport 995 -j ACCEPT	#ssl imap

iptables -A FORWARD -p tcp --sport 993 -j ACCEPT

iptables -A FORWARD -p tcp --sport 443 -j ACCEPT 	#ssl

iptables -A FORWARD -p tcp --dport 443 -j ACCEPT 

iptables -A FORWARD -p tcp --sport 123 -j ACCEPT 	#NTP

iptables -A FORWARD -p tcp --dport 123 -j ACCEPT 

iptables -A FORWARD -p tcp --sport 8080 -j ACCEPT 	#http

iptables -A FORWARD -p tcp --dport 8080 -j ACCEPT 

iptables -A FORWARD -p tcp --sport 802 -j ACCEPT  	#Swith 24 portas

iptables -A FORWARD -p tcp --dport 802 -j ACCEPT 

iptables -A FORWARD -p tcp --sport 809 -j ACCEPT  	#sptrans

iptables -A FORWARD -p tcp --dport 809 -j ACCEPT 

iptables -A FORWARD -p tcp --sport 3000 -j ACCEPT 	#Firebird

iptables -A FORWARD -p tcp --dport 3000 -j ACCEPT 

iptables -A FORWARD -p tcp --sport 3001 -j ACCEPT 	#Firebird

iptables -A FORWARD -p tcp --dport 3001 -j ACCEPT

iptables -A FORWARD -p tcp --sport 3002 -j ACCEPT 

iptables -A FORWARD -p tcp --dport 3002 -j ACCEPT 

iptables -A FORWARD -p tcp --sport 2082 -j ACCEPT 	#infowave - Infowave Mobility Server

iptables -A FORWARD -p tcp --dport 2082 -j ACCEPT

iptables -A FORWARD -p tcp --sport 1234 -j ACCEPT 

iptables -A FORWARD -p tcp --dport 1234 -j ACCEPT 

iptables -A FORWARD -p tcp --sport 5900 -j ACCEPT #vnc-server - VNC Server

iptables -A FORWARD -p tcp --dport 5900 -j ACCEPT 

iptables -A FORWARD -p udp --sport 123 -j ACCEPT 

iptables -A FORWARD -p udp --dport 123 -j ACCEPT 



iptables -I FORWARD -p tcp -m string --algo bm --string "teamviewer" -m multiport --dport 80,443,5389 -j ACCEPT



### Portas DVR Intelbras ###

iptables -A FORWARD -p tcp --dport 37777 -j ACCEPT

iptables -A FORWARD -p tcp --sport 37777 -j ACCEPT

iptables -A FORWARD -p tcp --dport 7070 -j ACCEPT

iptables -A FORWARD -p tcp --sport 7070 -j ACCEPT



### Portas SOFTPHONE ###

iptables -A FORWARD -p udp --dport 5060 -j ACCEPT

iptables -A FORWARD -p udp --sport 5060 -j ACCEPT

iptables -A FORWARD -p udp --dport 5090 -j ACCEPT

iptables -A FORWARD -p udp --sport 5090 -j ACCEPT

iptables -A FORWARD -p udp --dport 5000 -j ACCEPT

iptables -A FORWARD -p udp --sport 5000 -j ACCEPT

iptables -A FORWARD -p udp --dport 4515 -j ACCEPT

iptables -A FORWARD -p udp --sport 4515 -j ACCEPT

iptables -A FORWARD -p udp --dport 4516 -j ACCEPT

iptables -A FORWARD -p udp --sport 4516 -j ACCEPT

iptables -A FORWARD -p udp -m multiport --dport 9000:9049 -j ACCEPT

iptables -A FORWARD -p udp -m multiport --dport 5480:5489 -j ACCEPT

iptables -A FORWARD -p udp -m multiport --dport 7000:7499 -j ACCEPT

iptables -A FORWARD -p udp -m multiport --dport 23000:23999 -j ACCEPT

iptables -A FORWARD -p udp -m multiport --dport 40000:40999 -j ACCEPT



### Portas CPS MOBILE ###

iptables -A FORWARD -p tcp -m tcp --dport 2021 -j ACCEPT

iptables -A FORWARD -p tcp -m tcp --sport 2021 -j ACCEPT

iptables -A FORWARD -p tcp -m tcp --dport 2022 -j ACCEPT

iptables -A FORWARD -p tcp -m tcp --sport 2022 -j ACCEPT

iptables -A FORWARD -p tcp -m tcp --dport 8080 -j ACCEPT

iptables -A FORWARD -p tcp -m tcp --sport 8080 -j ACCEPT



### Portas SUPORTE GRV X ###

iptables -A FORWARD -p tcp -m multiport --dport 2101:2240 -j ACCEPT

iptables -A FORWARD -p tcp -m multiport --sport 2101:2240 -j ACCEPT





## Bloqueio Redes Sociais

#  Apenas para a lista da linha abaixo será permitido o acesso!

for t in `cat /Administrativo/Internet/access.dat` ; do

#  Bloqueia o acesso a todos exceto os da lista (!)

iptables -I FORWARD -i $INT -m string --algo bm --string "facebook" -j DROP ! -s $t

iptables -I FORWARD -i $INT -m string --algo bm --string "twitter" -j DROP ! -s $t

iptables -I FORWARD -i $INT -m string --algo bm --string "youtube" -j DROP ! -s $t

#iptables -I FORWARD -i $INT -m string --algo bm --string "whatsapp" -j DROP ! -s $t

#iptables -I FORWARD -i $INT -m string --algo bm --string "outlook" -j DROP ! -s $t

#iptables -I FORWARD -i $INT -m string --algo bm --string "google" -j DROP ! -s $t



done



#iptables -t filter -A FORWARD -m limit --limit 4/min -j LOG --log-prefix "FWD_DROP -- DENY Policy " --log-level 6

iptables -A FORWARD -j DROP



### Regras PREROUTING

iptables -t nat -A PREROUTING -i $INT -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

iptables -t nat -A POSTROUTING -s 192.168.11.0/255.255.255.0 -o $EXT -j MASQUERADE



### Encaminhamento portas DVR ###

iptables -t nat -A PREROUTING -i $EXT -p tcp --dport 7070 -j DNAT --to-destination 192.168.11.33:7070

iptables -t nat -A PREROUTING -i $EXT -p tcp --dport 37777 -j DNAT --to-destination 192.168.11.33:37777



### Encaminhamento portas CPS MOVEL ###

iptables -t nat -A PREROUTING -i $EXT -p tcp --dport 8080 -j DNAT --to-destination 192.168.11.87:8080

iptables -t nat -A PREROUTING -i $EXT -p tcp --dport 2021 -j DNAT --to-destination 192.168.11.87:2021

iptables -t nat -A PREROUTING -i $EXT -p tcp --dport 2022 -j DNAT --to-destination 192.168.11.87:2021



### Encaminhamento portas ATA ###

iptables -t nat -A PREROUTING -i $INT -p udp --dport 5060 -j DNAT --to-destination 192.168.11.48:5060

iptables -t nat -A PREROUTING -i $INT -p udp --dport 5090 -j DNAT --to-destination 192.168.11.48:5090

iptables -t nat -A PREROUTING -i $INT -p udp --dport 4515 -j DNAT --to-destination 192.168.11.48:4515

iptables -t nat -A PREROUTING -i $INT -p udp --dport 4516 -j DNAT --to-destination 192.168.11.48:4516

iptables -t nat -A PREROUTING -i $INT -p udp --dport 5000 -j DNAT --to-destination 192.168.11.48:5000

iptables -t nat -A PREROUTING -i $INT -p udp --dport 5090 -j DNAT --to-destination 192.168.11.48:5090

iptables -t nat -A PREROUTING -i $INT -p udp -m multiport --dport 9000:9049 -j DNAT --to-dest 192.168.11.48

iptables -t nat -A PREROUTING -i $INT -p udp -m multiport --dport 5480:5489 -j DNAT --to-dest 192.168.11.48

iptables -t nat -A PREROUTING -i $INT -p udp -m multiport --dport 7000:7499 -j DNAT --to-dest 192.168.11.48

iptables -t nat -A PREROUTING -i $INT -p udp -m multiport --dport 23000:23999 -j DNAT --to-dest 192.168.11.48

iptables -t nat -A PREROUTING -i $INT -p udp -m multiport --dport 40000:40999 -j DNAT --to-dest 192.168.11.48

iptables -t nat -A PREROUTING -i $EXT -p udp --dport 5060 -j DNAT --to-destination 192.168.11.48:5060

iptables -t nat -A PREROUTING -i $EXT -p udp --dport 5090 -j DNAT --to-destination 192.168.11.48:5090

iptables -t nat -A PREROUTING -i $EXT -p udp --dport 4515 -j DNAT --to-destination 192.168.11.48:4515

iptables -t nat -A PREROUTING -i $EXT -p udp --dport 4516 -j DNAT --to-destination 192.168.11.48:4516

iptables -t nat -A PREROUTING -i $EXT -p udp --dport 5000 -j DNAT --to-destination 192.168.11.48:5000

iptables -t nat -A PREROUTING -i $EXT -p udp --dport 5090 -j DNAT --to-destination 192.168.11.48:5090

iptables -t nat -A PREROUTING -i $EXT -p udp -m multiport --dport 9000:9049 -j DNAT --to-dest 192.168.11.48

iptables -t nat -A PREROUTING -i $EXT -p udp -m multiport --dport 5480:5489 -j DNAT --to-dest 192.168.11.48

iptables -t nat -A PREROUTING -i $EXT -p udp -m multiport --dport 7000:7499 -j DNAT --to-dest 192.168.11.48

iptables -t nat -A PREROUTING -i $EXT -p udp -m multiport --dport 23000:23999 -j DNAT --to-dest 192.168.11.48

iptables -t nat -A PREROUTING -i $EXT -p udp -m multiport --dport 40000:40999 -j DNAT --to-dest 192.168.11.48



 

Boa tarde.

Só um exemplo de como teu código tá confuso e com excesso de linhas

## Bloqueio Redes Sociais
# Apenas para a lista da linha abaixo será permitido o acesso!
for t in `cat /Administrativo/Internet/access.dat` ; do
# Bloqueia o acesso a todos exceto os da lista (!)
iptables -I FORWARD -i $INT -m string --algo bm --string "facebook" -j DROP ! -s $t
iptables -I FORWARD -i $INT -m string --algo bm --string "twitter" -j DROP ! -s $t
iptables -I FORWARD -i $INT -m string --algo bm --string "youtube" -j DROP ! -s $t
#iptables -I FORWARD -i $INT -m string --algo bm --string "whatsapp" -j DROP ! -s $t
#iptables -I FORWARD -i $INT -m string --algo bm --string "outlook" -j DROP ! -s $t
#iptables -I FORWARD -i $INT -m string --algo bm --string "google" -j DROP ! -s $t

done

#iptables -t filter -A FORWARD -m limit --limit 4/min -j LOG --log-prefix "FWD_DROP -- DENY Policy " --log-level 6
iptables -A FORWARD -j DROP ( Os DROP acima são desnecessários se vc aplicou bloqueio em tudo aqui nesta regra entendeu? )

Logo a desorganização do teu código é latente, minha sugestão é: Primeiro define como será o POLICE DEFAULT do teu código ai sim vc começa a aplicar DROPS ou ACCEPTS no teu script

Fico a disposição para te ajudar nessa reconstrução caso vc julgue necessário

Abs

Obrigado pelo retorno, estou aberto as informações, sobre como reconstruir.

Boa tarde.

Fechado, final de expediente, vemos isso amanhã ok?

Ok, sem problemas, obrigado.

Bom dia.
Não esqueci de vc não, estou montando uma base aqui para vc conseguir prosseguir com teu firewall ok!

Abs

Bom dia

Dá uma olhada nesse pequeno modelo, criei uma coisa simples para que vc possa pegar teu cenário atual e ir adaptando, informa
caso não tenha entendido alguma coisa.

#!/bin/bash
#INTERFACE WAN = ETH0


REDE_LOCAL="MINHA_REDE_LOCAL"
SERVIDOR01=IP_SERVIDOR_LOCAL

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

modprobe iptable_nat
modprobe ip_tables

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

### Regras de INPUT ###
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#### Regras de FORWARD ####
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s $REDE_LOCAL -m state --state NEW -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dport 22,3128 -j ACCEPT # Aqui vc pode colocar todas as suas regras q vc esta colocando uma em cada linha ex: 22,3128,7000

##### REGRAS DE NAT MULTIPORT #####
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2222 -j DNAT --to $SERVIDOR01:22 # SERVIDOR SSH # Ex de regra de NAT

Blz amigo, vlw.
Vou montar aqui e testar