1) на сколько обоснованно применение политик
iptables -A FORWARD DROP
iptables -A INPUT DROP
iptables -A OUTPUT DROP

2) как по правильному (используя 1)) написать правила iptables для работы squid. squid слушает со стороны локальной сети порт 3128.

• правильная настройка iptables,ALPOP, 17:24 , 21-Окт-05
• правильная настройка iptables,atr, 00:37 , 25-Окт-05
  • правильная настройка iptables,ALPOP, 11:40 , 26-Окт-05
    • правильная настройка iptables,dmart, 12:26 , 11-Ноя-05
      • правильная настройка iptables,anonymous, 18:01 , 17-Июн-08

>1) на сколько обоснованно применение политик
>iptables -A FORWARD DROP
>iptables -A INPUT DROP
>iptables -A OUTPUT DROP
>
>2) как по правильному (используя 1)) написать правила iptables для работы squid.
>squid слушает со стороны локальной сети порт 3128.

если надо - почитай:
http://www.opennet.me/docs/RUS/iptables/
http://ru.gentoo-wiki.com/Подробная_настройка_iptables

iptables -A FORWARD DROP
iptables -A INPUT DROP
iptables -A OUTPUT DROP

iptables -A FORWARD -p tcp -d $PROXY --dport 3128 -i $INT_NIC -j ACCEPT
iptables -A FORWARD -p tcp -s $PROXY --sport 3128 -i $EXT_NIC -j ACCEPT

gde PROXY - proxy ip, INT_NIC - interne setevaja karta, EXT_NIC - externe

>iptables -A FORWARD DROP
>iptables -A INPUT DROP
>iptables -A OUTPUT DROP
>
> iptables -A FORWARD -p tcp -d $PROXY --dport 3128 -i $INT_NIC
>-j ACCEPT
> iptables -A FORWARD -p tcp -s $PROXY --sport 3128 -i $EXT_NIC
>-j ACCEPT
>
>gde PROXY - proxy ip, INT_NIC - interne setevaja karta, EXT_NIC -
>externe

все проще: нам известен адрес отправителя и порт на котором работает виндовый удаленный раб. стол, поэтому достаточно сделать "переадресацию" (DNAT)с брандмауэра на машину из локальной сети

И почему все так любят DROP, а не REJECT?

>И почему все так любят DROP, а не REJECT?

Потомучто этим могут воспользоваться "шутники"