bueno me contesto y espero le sirva a los que puedan tener este problema la solucion fue agregar estas lineas a mi script firewall y aplicarlo
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -o eth0 -j MASQUERADE
 lo que puedo entender de esta regla es natear a todo ese bloque que venga de la eth0 puede poner el bloque o direcciones especificas para que puedan descargar torrents y ftp

hola iba a crear este tema en firewall pero me di cuenta que es nada mas para mikrotik

tengo un server con debian 8.7.1 y squid3.4 solamente en mi laboratorio poseo una ip publica estatica asignada por mi proveedor de internet

y los de desarrollo me reclamaron por que no se pueden conectar a un ftp externo y me di cuenta que no puedo descargar torrents mi archivo de firewall scrip es este
#!/bin/bash

############################################################
# Los acentos en este texto han sido eliminados a proposito.
# Firewall con politicas de DROP por defecto
# Construido por Ivan Rico | 7th Sign
# ivan@rico.org.mx
# http://ivan.rico.org.mx
############################################################

############################################################
# VARIABLES DEL SCRIPT
############################################################

#Ruta del binario de iptables
IPTABLES=/sbin/iptables

#Interfaz conectada a internet
INTERNET="eth1"

#Interfaz conectada a nuestra LAN
LAN="eth0"

#Declarar la clase de la red local
CLASS=192.168.0.0/22

#Declarar el resto de la red
UNIVERSE=0.0.0.0/0

############################################################
# ELIMINACION DE REGLAS EXISTENTES
############################################################

$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
$IPTABLES -t nat -F

############################################################
# ESTABLECEMOS POLITICAS POR DEFECTO (CERRADO)
############################################################

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
#$IPTABLES -P FORWARD DROP

modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe iptable_nat

############################################################
# COMIENZAN REGLAS DE FILTRADO
############################################################
#El localhost se deja acceso total
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT


#*************************************************************#
#*************************************************************#
#                       REGLAS DE INPUT                       #
#*************************************************************#
#*************************************************************#
#PERMITIR PETICIONES ICMP QUE VENGAN DE LAS IPS DE LA RED
$IPTABLES -A INPUT -p ICMP -s $CLASS -j ACCEPT

#PERMITIR PINGS DESDE INTERNET
$IPTABLES -A INPUT -p icmp -i $INTERNET --icmp-type echo-reply -j ACCEPT

#PERMITIR EL USO DEL SERVIDOR DNS
$IPTABLES -A INPUT -p udp -s $CLASS --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $CLASS --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp -d $CLASS --sport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $CLASS --sport 53 -j ACCEPT

#ACCESO A SSH DESDE LA RED LOCAL
$IPTABLES -A INPUT -i $LAN -p tcp --dport 22 -j ACCEPT

#ACCESSO A SMB DESDE LA RED LOCAL
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 137 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 138 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 139 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 445 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 137 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 138 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 139 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 445 -j ACCEPT

#ACCESO AL PROXY
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 3128 -j ACCEPT

#ACCESO AL APACHE PARA APLICACIONES LOCALES
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --sport 80 -j ACCEPT

# FTP Activo
$IPTABLES -A INPUT -p tcp --dport 20 -j ACCEPT  # Port
$IPTABLES -A INPUT -p udp --dport 20 -j ACCEPT  # Port
$IPTABLES -A INPUT -p tcp --sport 20 -j ACCEPT  # Port
$IPTABLES -A INPUT -p udp --sport 20 -j ACCEPT  # Port

$IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT  # Control
$IPTABLES -A INPUT -p udp --dport 21 -j ACCEPT  # Control
$IPTABLES -A INPUT -p tcp --sport 21 -j ACCEPT  # Control
$IPTABLES -A INPUT -p udp --sport 21 -j ACCEPT  # Control

$IPTABLES -A INPUT -p tcp --dport 1987 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 1987 -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 1987 -j ACCEPT
$IPTABLES -A INPUT -p udp --sport 1987 -j ACCEPT

#PERMITIR ACCESO A LAS CONEXIONES ESTABLECIDAS
$IPTABLES -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#*************************************************************#
#*************************************************************#
#                       REGLAS DE OUTPUT                    #
#*************************************************************#
#*************************************************************#
#PERMITIR CONTESTAR LAS PETICIONES ICMP DE LAS IPS DE LA RED
$IPTABLES  -A OUTPUT -p ICMP -d $CLASS -j ACCEPT

#PERMITIR PNGS DESDE INTERNET
#$IPTABLES -A OUTPUT -p icmp -o $INTERNET --icmp-type echo-request -j ACCEPT

#DNS
$IPTABLES -A OUTPUT -p udp -d $CLASS --sport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -d $CLASS --sport 53 -j ACCEPT

#ACCESO A SSH DESDE LA RED LOCAL
$IPTABLES -A OUTPUT -o $LAN -p tcp --sport 22 -j ACCEPT

#ACCESSO A SMB DESDE LA RED LOCAL
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 137 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 138 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 139 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 445 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 137 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 138 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 139 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 445 -j ACCEPT

# FTP Activo
$IPTABLES -A OUTPUT -p tcp --dport 20 -j ACCEPT  # Port
$IPTABLES -A OUTPUT -p udp --dport 20 -j ACCEPT  # Port
$IPTABLES -A OUTPUT -p tcp --dport 21 -j ACCEPT  # Control
$IPTABLES -A OUTPUT -p udp --dport 21 -j ACCEPT  # Control
$IPTABLES -A OUTPUT -p tcp --dport 1987 -j ACCEPT  # Control
$IPTABLES -A OUTPUT -p udp --dport 1987 -j ACCEPT  # Contro
#$IPTABLES -A OUTPUT -p tcp --sport 1987 -j ACCEPT  # Control
#$IPTABLES -A OUTPUT -p udp --sport 1987 -j ACCEPT  # Contro

#ACCESO AL PROXY DESDE LA LAN
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 3128 -j ACCEPT

#ACCESO AL APACHE PARA APLICACIONES LOCALES
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 80 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --dport 80 -j ACCEPT

#PERMITIR EL ACCESO A LAS CONEXCIONES ESTABLECIDAS
$IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#*************************************************************#
#*************************************************************#
#                       REGLAS DE FORWARD                     #
#*************************************************************#
#*************************************************************#

#HABILITAR TRAFICO WEB
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 80 -j ACCEPT

#HABILITAR PING
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p icmp -j ACCEPT

#PERMITIR EL USO DE MSN MESSENGER
#$IPTABLES -A FORWARD -p TCP --dport 1863 -j ACCEPT

#PERMITIR EL USO DEL PUERTO DEL CPANEL
#$IPTABLES -A FORWARD  -i $LAN -o $INTERNET -p TCP --dport 2083 -j ACCEPT

#PERMITIR EL USO DEL SSL
$IPTABLES -A FORWARD  -i $LAN -o $INTERNET -p TCP --dport 443 -j ACCEPT

#PERMITIR CONEXIONES SSH HACIA EL EXTERIOR
$IPTABLES -A FORWARD  -i $LAN -o $INTERNET -p TCP --dport 22 -j ACCEPT

# FTP Activo
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 20 -j ACCEPT  # Port
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 20 -j ACCEPT  # Port
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 21 -j ACCEPT  # Control
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 21 -j ACCEPT  # Control
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 1987 -j ACCEPT  # Control
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 1987 -j ACCEPT  # Control
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 1024:65535 -j ACCEPT  # Control
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 1024:65535 -j ACCEPT  # Control

#HABILITAR LAS CONEXIONES ESTABLECIDAS
$IPTABLES -A FORWARD -i $INTERNET -o $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT

#*************************************************************#
#*************************************************************#
#                       REGLAS De NAT                         #
#*************************************************************#
#*************************************************************#
#ACTIVANDO EL NAT USANDO MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.200 -p tcp -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 20 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 21 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p udp --dport 20 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p udp --dport 21 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 22 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p udp --dport 1987 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 1987 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 1024:65535 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p udp --dport 1024:65535 -j MASQUERADE
###################y ya como desespero he agregado las siguiente y los puertos siguen cerrados
$IPTABLES -t nat -I PREROUTING -d 192.168.0.0/22 -p tcp --dport 19:6999
$IPTABLES -t nat -I PREROUTING -s 192.168.0.0/22 -p tcp --dport 19:6999
$IPTABLES -A INPUT -s $CLASS -p tcp --dport 19:6999 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 1024:65535
$IPTABLES -A OUTPUT -p tcp --dport 1024:65535
$IPTABLES -A OUTPUT -p udp --dport 1024:65535
$IPTABLES -A OUTPUT -p udp --dport 1024:65535
$IPTABLES -A FORWARD -s 192.168.0.0/22 -j ACCEPT




de verdad si alguin tuvo este problema y lo pudo resolver ya tengo dos semanas en pruebas y nada

Buenas chicos al parecer ya encontre mi problema con las direcciones de china que me generaban trafico voy por orden


1.gracias a firecold monte unas mejores reglas mas entendibles, en fin solo permitia a localnet lo demas lo denegaba pero cuando  revisaba mi /var/log/squid3/access.log seguia viendo direcciones de otros lugares que no eran de mi localnet las ip era de otros paises que querian conectarse a mi proxy para navegar atraves de el. trabajo para una institucion publica la cual contrato un servicio de cantv empresarial que me dan algunas ip publicas fijas. entonces el servidor que administro por supuesto tiene dos interfaces de red lan y wan ya que  desde cuando llegue solo hay un servidor y en el hay el dns, dhcp y proxy todo eso corriendo bajo ubuntu 12 bueno como ya dije tiene dos interfaces de red siendo cliente en mi trabajo coloco el proxy 192.168.0.254:3128 navegando fino osea bien. pero un dia en mi casa aburrido coloque el proxy pero claro la ip publica 190.xxx.xx.xxx:3128 sorpresa si navegaba y cuando buscaba un servicio de que me dijera mi ubicacion estaba en mi trabajo y no podia ver las paginas bloqueada esto me llevo a arreglar las reglas tanto mi desespero me registre en este foro. como dije al principio solo permiti a  localnet aunque ya no navegaba con la ip publica y puerto desde mi casa pero si me seguia generando trafico de china por ej:

todas las mañana cuando revisaba el sarg 
202.52.156.22    80mg            y todas las paginas que intento acceder las denego  pero igual me generaba trafico denegandola


mi sospecha comenzo cuando instale un nuevo proxy de prueba recien instaladolo y veia el /var/log/squid3/acces.log ya me denegaba ip extrañas cuando cambie el puerto al 3129 al principio los robots no me enviaban nada pero al rato ya tenia peticiones. 

creo que los aburri la solucion mia fue cerrar el puerto 3128 para la wan solo para la wan
muy facil con ufw o con ip tables 
iptables: $IPTABLES -A INPUT -i eth1 -p tcp --dport 3128 -j DROP   eth1 es mi interfaz wan 
 

ufw lo recomiendo de verda muy bueno: ufw deny in on eth1 to any port 3128
 bueno creo que el que este cansado de las 2000 direcciones todos los dias en el sarg esta fue mi solucion espero que le sirva a alguien y bueno si me dan permiso creo que merece abrir un hilo nuevo.
chao gracias y espero ayudarlos como lo hicieron Dios les bendiga

lo coloque pero igual o hasta peor sigue sin responder ya estoy que me paso a otro serv

Hola chicos tenia tiempo que no entraba en el foro a aprender mas de linux, en el corre corre del dia a dia,
saludos y feliz año nuevo ya en febrero jajaj

bueno desde hace una semana tengo un inconveniente en mi trabajo con el servidor proxy squid3.1 corriendo en ubuntu 12 que tiene problemas en ocasiones al conectarse a las paginas solo de google entre ellas gmail,imágenes y youtube dejan de funcionar como por 1 minutos pasado el minuto empiezan a cargar todas. pero el problema sucede cuando hay muchos clientes tipo 8 de la mañana y al mediodia sucede eso.
BUSCANDO ANTES DE ABRIR UN TEMA!!! conseguí que puede que sea un problema de ipv6 de mi equipo como en la siguiente pagina http://www.espaciolinux.com/foros/redes-servidores/problema-raro-con-squid-ipv6-t50748.html siguiendo los pasos o recomendaciones sin tener exito,
entre ellas también expandí un poco mas la memoria cache la limpie y nada, funciona bien cuando no hay tantos clientes ya en los dns puse los de google los quite puse los de mi isp y nada en realidad empezó a fallar sin tocar nada después de casi un año sin ningún tipo de problema si saben de alguin que tuvo este problema poco documentado por favor...;D


en los log el error es:
1486125409.002  59937 192.168.1.80 TCP_MISS/503 0 CONNECT www.facebook.com:443 - DIRECT/157.240.0.35 -
1486125409.002  59560 192.168.1.136 TCP_MISS/503 0 CONNECT connect.facebook.net:443 - DIRECT/157.240.0.22 -
  aqui otras de lo que hice sin funcionar http://www.barlow.eu.com/techblog/squid-3-listening-ipv6/

buen dia nuevamente yo seguire probando lo mas curioso es que  nadie usa ese proxy ya que esta recien instalado y nadie navega a traves de el.
el trafico que esta generando es de la wan proveniente de ip de chinas y rusia estoy conciente que es un ataque por que en lo que arranco el squi en el acces.log espieza como la matrix de ips que intenta acceder y navegar con mi proxy. en las misma pruebas en mi trabajo un dia lo deje permitir todo y en mi casa puse la ip publica que tiene el proxy de mi trabajo y el puerto y yo navegue en mi casa y em el sarg al dia siguiente estaba la ip de mi casa y las paginas que entre. en esta ocasion ya cerre todo en el squid y no me deja navegar como paso aquel dia por que el proxy me rechaza la conexion,

Para que vean la magnitud de lo que hay con respecto a este tema 
reinstale todo squid 3  una sola regla denegar todo e instale sarg y sigue la fiesta de direcciones ip que no son localnet por un momento pense que eran los puertos pero no fue asi cambie el puerto del proxy y nada aplique un firewall que hay por internet y aun asi sigue pasando trafico  :-X








por lo menos asi ya descarte que sea squid ya ahora voy para iptables si alguien tiene un conf de iptables mas robusto

esto sigue sucediendo ya me rindo. esta el denegar todo

excelente aporte. agragado a marcador  :-*

lo que a mi me parece que son bots intentanto acceder a un serverproxy por que en lo que cambio el puerto default a otro y vuelvo a revisar el log y suazz se acabarons las ip externas. ya estoy entiendo sobre este tema fue un dolor de cabeza antes aunque deberia haber una manera de bloquearla  :-X

NO COMPRENDO si el sarg me dice que esas ip externas estan denied y aun me generan trafico ya menos que antes de aplicar la regla deny all¡localnet

gracias firecold aqui esta el squid.conf
*/.[0-9]*/.[0-9]*/.[0-9]*
acl regexips url_regex [0-9]+.[0-9]+.[0-9]+.[0-9]+
acl todalared src 0.0.0.0
acl Direcionesip urlpath_regex [0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
acl URL_blockext url_regex "/etc/squid3/URLblockext"
acl AT_admin arp 74:27:EA:F6:9F:AF



http_access allow AT_admin
http_access allow AT_sinrestrincciones
http_access deny CONNECT !SSL_ports
http_access allow AT_accesototal !URLprohibido !URLtorrent !URLmega
http_access deny SSL_ports !permitidas !maclibres !soporteTecnico !macfacebook !jefes !prensa !AT_sinrestrincciones !AT_sinfacebook !AT_accesototal !AT_prensa
http_access allow localhost
http_access deny macblock
http_access allow macfacebook !URLprohibido !URLyoutube !URLtorrent !URLmega
http_access allow soporteTecnico !URLprohibido !URLtorrent
http_access allow maclibres !redesSociales !URLprohibido !URLtorrent !URLmega
http_access allow AT_prensa !redesSociales !deny_rep_mime_flashvideo !deny_rep_mime_shockwave !URLtorrent
http_access allow AT_sinfacebook !URLprohibido !URLfacebook !URLtorrent !URLmega
http_reply_access deny fails !maclibres !jefes !macfacebook !soporteTecnico !permitidas
http_access allow AT_sinyoutube !URLprohibido !URLyoutube !URLtorrent !URLmega
http_reply_access deny fails2 !maclibres !jefes !macfacebook !soporteTecnico !permitidas
http_access deny msn_messenger !permitidas
http_reply_access deny x-type !maclibres !permitidas !jefes !macfacebook !soporteTecnico !permitidas
http_access deny deny_rep_mime_flashvideo deny_rep_mime_shockwave
http_reply_access deny x-type2 !maclibres !permitidas !jefes !macfacebook !soporteTecnico !permitidas
http_access deny useragentq !permitidas !maclibres !soporteTecnico !macfacebook !jefes !prensa
http_access deny fails !permitidas !maclibres !soporteTecnico !macfacebook !jefes !prensa
http_access deny fails2 !permitidas !maclibres !soporteTecnico !macfacebook !jefes !prensa
http_access deny useragent !permitidas !maclibres !soporteTecnico !macfacebook !jefes !prensa
http_access deny redesSociales !permitidas
http_access deny x-type !permitidas !maclibres !soporteTecnico !macfacebook !jefes !prensa
http_access deny blacklist !permitidas !jefes
http_access deny x-type2 !permitidas !maclibres !soporteTecnico !macfacebook !jefes !prensa
http_access deny listaextensiones !permitidas
http_access deny ivss !ivss_paginas
http_access deny all !localnet !AT_admin
http_access deny Direcionesip !localnet !AT_admin
]
quite algunas otras cosas para que no se hiciera tan largo nota que el ultimo es deny all menos localnet pero igual siguen apareciendo ip extrañas
aqui el firewall



$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT


#*************************************************************#
#*************************************************************#
#                       REGLAS DE INPUT                       #
#*************************************************************#
#*************************************************************#
#PERMITIR PETICIONES ICMP QUE VENGAN DE LAS IPS DE LA RED
$IPTABLES -A INPUT -p ICMP -s $CLASS -j ACCEPT

#PERMITIR PINGS DESDE INTERNET
$IPTABLES -A INPUT -p icmp -i $INTERNET --icmp-type echo-reply -j ACCEPT

#PERMITIR EL USO DEL SERVIDOR DNS
$IPTABLES -A INPUT -p udp -s $CLASS --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $CLASS --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp -d $CLASS --sport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $CLASS --sport 53 -j ACCEPT

#ACCESO A SSH DESDE LA RED LOCAL
$IPTABLES -A INPUT -i $LAN -p tcp --dport 22 -j ACCEPT

#ACCESSO A SMB DESDE LA RED LOCAL
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 137 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 138 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 139 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 445 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 137 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 138 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 139 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 445 -j ACCEPT

#ACCESO AL PROXY
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 3128 -j ACCEPT

#ACCESO AL APACHE PARA APLICACIONES LOCALES
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --sport 80 -j ACCEPT

# FTP Activo
$IPTABLES -A INPUT -p tcp --dport 20 -j ACCEPT  # Port
$IPTABLES -A INPUT -p udp --dport 20 -j ACCEPT  # Port
$IPTABLES -A INPUT -p tcp --sport 20 -j ACCEPT  # Port
$IPTABLES -A INPUT -p udp --sport 20 -j ACCEPT  # Port

$IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT  # Control
$IPTABLES -A INPUT -p udp --dport 21 -j ACCEPT  # Control
$IPTABLES -A INPUT -p tcp --sport 21 -j ACCEPT  # Control
$IPTABLES -A INPUT -p udp --sport 21 -j ACCEPT  # Control

$IPTABLES -A INPUT -p tcp --dport 1987 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 1987 -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 1987 -j ACCEPT
$IPTABLES -A INPUT -p udp --sport 1987 -j ACCEPT
#PERMITIR ACCESO A LAS CONEXIONES ESTABLECIDAS
$IPTABLES -A INPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#*************************************************************#
#*************************************************************#
#                       REGLAS DE OUTPUT                    #
#*************************************************************#
#*************************************************************#
#PERMITIR CONTESTAR LAS PETICIONES ICMP DE LAS IPS DE LA RED
$IPTABLES  -A OUTPUT -p ICMP -d $CLASS -j ACCEPT

#PERMITIR PNGS DESDE INTERNET
#$IPTABLES -A OUTPUT -p icmp -o $INTERNET --icmp-type echo-request -j ACCEPT

#DNS
$IPTABLES -A OUTPUT -p udp -d $CLASS --sport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -d $CLASS --sport 53 -j ACCEPT

#ACCESO A SSH DESDE LA RED LOCAL
$IPTABLES -A OUTPUT -o $LAN -p tcp --sport 22 -j ACCEPT

#ACCESSO A SMB DESDE LA RED LOCAL
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 137 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 138 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 139 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 445 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 137 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 138 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 139 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 445 -j ACCEPT

# FTP Activo
$IPTABLES -A OUTPUT -p tcp --dport 20 -j ACCEPT  # Port
$IPTABLES -A OUTPUT -p udp --dport 20 -j ACCEPT  # Port
$IPTABLES -A OUTPUT -p tcp --dport 21 -j ACCEPT  # Control
$IPTABLES -A OUTPUT -p udp --dport 21 -j ACCEPT  # Control
$IPTABLES -A OUTPUT -p tcp --dport 1987 -j ACCEPT  # Control
$IPTABLES -A OUTPUT -p udp --dport 1987 -j ACCEPT  # Contro
#$IPTABLES -A OUTPUT -p tcp --sport 1987 -j ACCEPT  # Control
#$IPTABLES -A OUTPUT -p udp --sport 1987 -j ACCEPT  # Contro

#ACCESO AL PROXY DESDE LA LAN
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 3128 -j ACCEPT

#ACCESO AL APACHE PARA APLICACIONES LOCALES
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 80 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --dport 80 -j ACCEPT

#PERMITIR EL ACCESO A LAS CONEXCIONES ESTABLECIDAS

$IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#*************************************************************#
#*************************************************************#
#                       REGLAS DE FORWARD                     #
#*************************************************************#
#*************************************************************#
#HABILITAR CONSULTA DNS
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 53 -j ACCEPT

#HABILITAR EL POP3
#$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 110 -j ACCEPT
#$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 995 -j ACCEPT

#HABILITAR EL SMTP
#$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 25 -j ACCEPT

#HABILITAR TRAFICO WEB
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 80 -j ACCEPT

#HABILITAR PING
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p icmp -j ACCEPT

#PERMITIR EL USO DE MSN MESSENGER
#$IPTABLES -A FORWARD -p TCP --dport 1863 -j ACCEPT

#PERMITIR EL USO DEL PUERTO DEL CPANEL
#$IPTABLES -A FORWARD  -i $LAN -o $INTERNET -p TCP --dport 2083 -j ACCEPT

#PERMITIR EL USO DEL SSL
$IPTABLES -A FORWARD  -i $LAN -o $INTERNET -p TCP --dport 443 -j ACCEPT

#PERMITIR CONEXIONES SSH HACIA EL EXTERIOR
$IPTABLES -A FORWARD  -i $LAN -o $INTERNET -p TCP --dport 22 -j ACCEPT

# FTP Activo
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 20 -j ACCEPT  # Port
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 20 -j ACCEPT  # Port
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 20 -j ACCEPT  # Port
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 20 -j ACCEPT  # Port
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 21 -j ACCEPT  # Control
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 21 -j ACCEPT  # Control
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 1987 -j ACCEPT  # Control
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 1987 -j ACCEPT  # Control
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 1024:65535 -j ACCEPT  # Control
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 1024:65535 -j ACCEPT  # Control

#HABILITAR LAS CONEXIONES ESTABLECIDAS
$IPTABLES -A FORWARD -i $INTERNET -o $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT

#*************************************************************#
#*************************************************************#
#                       REGLAS De NAT                         #
#*************************************************************#
#*************************************************************#
#ACTIVANDO EL NAT USANDO MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.200 -p tcp -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 20 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 21 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p udp --dport 20 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p udp --dport 21 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 22 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p udp --dport 1987 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 1987 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p tcp --dport 1024:65535 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/22 -p udp --dport 1024:65535 -j MASQUERADE


#BLOQUEANDO PUERTO 35803 POR BENEO DE GOOGLE
$IPTABLES -A INPUT -p tcp --dport 35803 -j DROP
$IPTABLES -A OUTPUT -p tcp --dport 35803 -j DROP
#####BLOQUEO DE HOTSPOTSHIELD##########
$IPTABLES -I FORWARD -p tcp -d 74.115.0.0/16 -j DROP
$IPTABLES -I FORWARD -p tcp -s 74.115.0.0/16 -j DROP

#BLOQUEOS IP ENTRADA
$IPTABLES -I INPUT -s 52.74.174.204 -j DROP # 15/05/15





Buenos Dias
ya use el boton de buscar pero no encontre un problema parecido al que tengo. Resulta que en mi server squid en la ultima access restriction tengo el deny all ¡localnet pero lo mas curioso del caso es que al dia siguiente en el sarg aparece unas direcciones ip externas que por supuesto no son de localnet consumiendo 11gb o hasta mas. y en el iptables bloqueo diariamente direcciones pero se que es algo imposible de bloquear toda la red manualmente. mi access log siempre me dice que esta denegando unas ip externas pero al dia siguiente esas mismas ip me consumieron 11gb o mas aqui una muestra de mi acces.log squid3

473001588.384      0 107.151.241.206 TCP_DENIED/403 3637 GET http://www.943158.com/ - NONE/- text/html
1473001588.427      0 151.80.204.172 TCP_DENIED/403 3456 CONNECT search.yahoo.com:443 - NONE/- text/html
1473001588.441      0 1.202.253.90 TCP_DENIED/403 6208 GET http://www.wanwanyl.com/index.php - NONE/- text/html
1473001588.475      0 45.32.87.137 TCP_DENIED/403 3883 GET http://www.sasuga.org/marche/bbs/yybbs.cgi? - NONE/- text/html
1473001588.497      0 199.189.254.245 TCP_DENIED/403 3760 GET http://bbs.yesmybi.com/ - NONE/- text/html
1473001588.500      0 107.151.241.206 TCP_DENIED/403 3637 GET http://www.943158.com/ - NONE/- text/html
1473001588.504      0 122.114.99.73 TCP_DENIED/403 0 GET http://www.wangjingcity.com/woncity/index.php? - NONE/- text/html
1473001588.506      0 107.151.241.206 TCP_DENIED/403 3637 GET http://www.943158.com/ - NONE/- text/html
1473001588.524      0 155.94.224.227 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001588.683      0 107.151.193.29 TCP_DENIED/403 3653 GET http://www.coengjik.com/vr/ - NONE/- text/html
1473001588.768      0 198.55.114.196 TCP_DENIED/403 3633 GET http://www.yg-px.com/ - NONE/- text/html
1473001588.835      0 218.93.233.122 TCP_DENIED/403 3707 GET http://www.jlsf8.com/ - NONE/- text/html
1473001588.930      0 199.189.254.245 TCP_DENIED/403 3787 GET http://bbs.yesmybi.com/forum.php - NONE/- text/html
1473001588.961      0 198.55.114.162 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001589.021      0 1.202.253.90 TCP_DENIED/403 6208 GET http://www.wanwanyl.com/index.php - NONE/- text/html
1473001589.066      0 198.55.114.163 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001589.119      1 27.187.97.147 TCP_DENIED/403 3782 GET http://app.tuwan.com/comment2/api/vote.ashx? - NONE/- text/html
1473001589.138      1 114.112.26.184 TCP_DENIED/403 6361 GET http://www.guoyuangy.com/ - NONE/- text/html
1473001589.142      0 139.129.15.18 TCP_DENIED/403 3798 GET http://bbs.cha369.cn/forum.php? - NONE/- text/html
1473001589.161    200 46.161.9.34 TCP_DENIED/403 3634 POST http://work.a-poster.info:25000/ - NONE/- text/html
1473001589.208      0 155.94.224.223 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001589.261      0 199.189.254.245 TCP_DENIED/403 3760 GET http://bbs.yesmybi.com/ - NONE/- text/html
1473001589.297      0 91.121.209.229 TCP_DENIED/403 3523 GET http://www.proxy-listen.de/azenv.php - NONE/- text/html
1473001589.375      0 198.55.114.196 TCP_DENIED/403 3633 GET http://www.yg-px.com/ - NONE/- text/html
1473001589.392      0 198.55.114.232 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001589.457      0 107.151.193.29 TCP_DENIED/403 3653 GET http://www.coengjik.com/vr/ - NONE/- text/html
1473001589.599      0 107.151.193.29 TCP_DENIED/403 3653 GET http://www.coengjik.com/vr/ - NONE/- text/html
1473001589.600      0 1.202.253.90 TCP_DENIED/403 6208 GET http://www.wanwanyl.com/index.php - NONE/- text/html
1473001589.611      0 139.129.15.18 TCP_DENIED/403 3798 GET http://bbs.cha369.cn/forum.php? - NONE/- text/html
1473001589.682      0 199.189.254.245 TCP_DENIED/403 3787 GET http://bbs.yesmybi.com/forum.php - NONE/- text/html
1473001589.745      0 84.200.27.215 TCP_DENIED/403 3605 CONNECT authserver.mojang.com:443 - NONE/- text/html
1473001589.779      0 155.94.224.222 TCP_DENIED/403 3890 GET http://www.qingshanwenwan.com/zitan/ - NONE/- text/html
1473001589.861      0 104.245.102.166 TCP_DENIED/403 3851 GET http://tjbilon.com/plus/guestbook.php - NONE/- text/html
1473001589.923      0 122.114.99.73 TCP_DENIED/403 4130 GET http://www.wangjingcity.com/woncity/index.php? - NONE/- text/html
1473001589.977      0 107.151.241.206 TCP_DENIED/403 3637 GET http://www.943158.com/ - NONE/- text/html
1473001589.982      0 139.129.15.18 TCP_DENIED/403 3996 POST http://demo.b2ctui.com/web/index.php? - NONE/- text/html

    anteriormente el problema era peor se mejoro mas despues que aplique la regla en el squid de deny all. ante todo muchas gracias ante todo muchas gracias de antemano saudos desde venezuela