1- закрыть доступ в интернет для шлюза, т.е. только Forward
Вроде както так:
iptables -P OUTPUT DROP
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
2- пропуск пакетов в локальную сеть только в ответ на установленное соединение из локальной сети, из локальной сети без ограничения,
...
но как при этом открыть доступ из вне к ssh и rdp, если будет стоять пропуск из вне только для установленных соединений?
Куда открыть? Ты про DNAT проброс в локалку? Тогда
iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT