давайте ка свой iptables сюда
мой скрипт запуска iptables
################# VARIABLES ##########################
IPTABLES="/sbin/iptables"
INET_IFACE="eth0"
INET_IP="--мой внеш IP--"
LAN_IFACE="eth1"
LAN_IP="10.0.0.200"
REMOTE_DESKTOP_PORT="3389"
WIN_SERVER="10.0.0.201"
ENABLED_IP="192.168.111.0/24"
ENABLED_IP1="10.0.0.203/32"
#ENABLED_IP1="10.0.0.0/24"
PROXY_PORT="55123"
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ip_queue
################# END OF VARIABLES ##################
$IPTABLES --flush
$IPTABLES --delete-chain
$IPTABLES -t nat --flush
echo "1" > /proc/sys/net/ipv4/ip_forward
##################### SSH WILL WORK FOREVER #####################
$IPTABLES -A INPUT -p TCP -i $LAN_IFACE --dport 22 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -o $LAN_IFACE --sport 22 -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE --dport 22 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -o $INET_IFACE --sport 22 -j ACCEPT
###################### LOG ##########################
##################### USER CHAINS ################################
$IPTABLES -N bad_tcp_packets
$IPTABLES -N QACCEPT
$IPTABLES -N QDROP
### bad_tcp_packets chain
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j LOG --log-prefix "IPT Reject:"
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "IPT New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j QDROP
### QUEUE&ACCEPT
$IPTABLES -A QACCEPT -j QUEUE
$IPTABLES -A QACCEPT -j ACCEPT
### QUEUE&DROP
$IPTABLES -A QDROP -j DROP
################ DEFAULT POLICY IS DROP ###########################
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
############################## PREROUTE ##############################
$IPTABLES -t nat -A PREROUTING -d $INET_IP -p tcp --dport $REMOTE_DESKTOP_PORT -j DNAT --to-destination $WIN_SERVER
$IPTABLES -t nat -A PREROUTING -s $ENABLED_IP -p tcp -m multiport --dport 80,81,8080,3128 -j REDIRECT --to-port $PROXY_PORT
############################## POSTROUTE ##############################
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -t nat -A POSTROUTING -p tcp -s 10.0.0.0/24 --dport 443 -j SNAT --to-source $INET_IP ! --dst 10.0.0.0/255.255.255.0
$IPTABLES -t nat -A POSTROUTING -o $LAN_IFACE -d $WIN_SERVER -j SNAT --to-source $LAN_IP
############################## FORWARD ##############################
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j QACCEPT
$IPTABLES -A FORWARD -i $INET_IFACE -d $WIN_SERVER -p tcp --dport $REMOTE_DESKTOP_PORT -j QACCEPT
$IPTABLES -A FORWARD -o $INET_IFACE -s $ENABLED_IP -p all -j QACCEPT
$IPTABLES -A FORWARD -o $INET_IFACE -s $ENABLED_IP1 -p all -j QACCEPT
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "
############################## INPUT ##############################
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
$IPTABLES -A INPUT -p ALL -j QACCEPT
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: "
############################## OUTPUT ##############################
$IPTABLES -A OUTPUT -p gre -m state --state ESTABLISHED,RELATED -j QACCEPT
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
$IPTABLES -A OUTPUT -p ALL -j QACCEPT
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "