iptables как правильней ?

[Mam(O)n]

1- закрыть доступ в интернет для шлюза, т.е. только Forward

Вроде както так:

iptables -P OUTPUT DROP
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

2- пропуск пакетов в локальную сеть только в ответ на установленное соединение из локальной сети, из локальной сети без ограничения,
...
но как при этом открыть доступ из вне к ssh и rdp, если будет стоять пропуск из вне только для установленных соединений?

Куда открыть? Ты про DNAT проброс в локалку? Тогда
iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

[kostryukov]

Куда открыть? Ты про DNAT проброс в локалку? Тогда
iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

пропускать пакеты из интернета в локалку, только в ответ на уже установленное соединение
и как при этом сделать доступ из интернета, к ссш на шлюзе ? или одно другому не мешает?

[Mam(O)n]

и как при этом сделать доступ из интернета, к ссш на шлюзе ? или одно другому не мешает?

Не, цепочки разные. FORWARD для транзита а INPUT для трафика к серверу.

[kostryukov]

вроде ясно. Input тоже дропаю, а потом открываю что мне нужно

[AnrDaemon]

DNS открыть не забудь, а то накроется...

А вообще - не вижу необходимости в таком извращении.
Зачем, какой смысл закрывать OUTPUT на сервере?