配置Linux NAT网关限制内网用户只能使用www和ftp服务

我们有一台linux的主机做NAT网关，有两块网卡，系统是RedHat9 内核版本2.4.20

内网网卡eth0：192.168.0.1
外网网卡eth1：202.197.66.190

目标：做NAT网关，同时限制内网的用户，使内网的用户只能使用www和ftp的服务?

以前内网的机器中了病毒，攻击校园网的其它机器，如DNS主机，导致我们的ip老是被网络中心封掉。因此，需要限制内网，以免网络病毒“扩散”。我觉得，限制内网和限制外网一样重要，但是貌似大家不是很注重限制内网，这是不责任的态度。

全部配置文件如下：
echo 1 > /proc/sys/net/ipv4/ip_forward

modprobe ip_nat_ftp

iptables -F
iptables -F -t nat
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j SNAT --to 202.197.66.190

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT

iptables -P FORWARD DROP

就这么简单，先前尝试了很多次，都没成功，后来发帖子在CU论坛上问了，才发现是DNS的端口没有打开。自认为网络学的不错，结果碰到实际问题了，还是不会灵活应用啊，经验太少。

意外的发现，这样配置后，qq还是能上，证实了网上qq能通过80端口转发数据的传言。如果硬是要封掉qq，可以将qq的服务器地址封掉就可以了。

接下来的工作：
1 打开迅雷，msn，ppstream,pplive等常用网络软件

2 保护好NAT主机啊，门户大开啊，只提高ssh服务，和ping????