HOWTO: Iptables для новичков

[kv_msn]

На счет маскардинга не понимаю, посмотрите мои комментарии в скрипте, при такой настройке точка из wan сети не пингуется, но nmap сканируется:

(Нажмите, чтобы показать/скрыть)

root@DIR-320:~#clear
-ash: сдclear: not found
root@DIR-320:~# ping 192.168.1.100
PING 192.168.1.100 (192.168.1.100): 56 data bytes
^C
--- 192.168.1.100 ping statistics ---
10 packets transmitted, 0 packets received, 100% packet loss
root@DIR-320:~# nmap 192.168.1.100

Starting Nmap 6.01 ( http://nmap.org ) at 2013-08-03 15:14 EEST
Nmap scan report for 192.168.1.100
Host is up (0.0013s latency).
Not shown: 998 filtered ports
PORT    STATE SERVICE
22/tcp  open  ssh
443/tcp open  https
MAC Address: xx:xx:xx:xx:xx:xx

Nmap done: 1 IP address (1 host up) scanned in 8.93 seconds
root@DIR-320:~#

Сам скрипт:

(Нажмите, чтобы показать/скрыть)

#!/bin/bash

echo "Loading iptables rules"

#Удалить все существующие правила
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

#Политика по умолчанию
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#Это правило разрешает вх. пакеты на lo
iptables -A INPUT -i lo -j ACCEPT
#Это правило определяет что на исх. пакеты(из lan) проходящие через eth0 выполняется маскардинг
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#Эти правила нужны для доступа к точке из lan сети через wlan0
iptables -A INPUT -i wlan0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i wlan0 -m conntrack --ctstate NEW -j ACCEPT
##Эти правила нужны для доступа к точке из wan сети через eth0
iptables -A INPUT -i eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i etho -m conntrack --ctstate NEW -j ACCEPT
#Эти правила открывают входящие соед. на порты 22 и 443 через eth0
iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
#Это правило для разрешения новых соед. из lan сети через wlan0
iptables -A FORWARD -i wlan0 -m conntrack --ctstate NEW -j ACCEPT
#Эти правила нужны для поддержания исходящих уже установленных соединений в цепочке FORWARD
iptables -A FORWARD -i eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i wlan0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
#На сколько я правильно понял, это правило для контроля RST и SYN битов
iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu

echo "Done"

iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.14 on Sat Aug  3 12:07:59 2013
*mangle
:PREROUTING ACCEPT [22826:2850928]
:INPUT ACCEPT [1244:67893]
:FORWARD ACCEPT [21582:2783035]
:OUTPUT ACCEPT [343:39284]
:POSTROUTING ACCEPT [21925:2822319]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sat Aug  3 12:07:59 2013
# Generated by iptables-save v1.4.14 on Sat Aug  3 12:07:59 2013
*nat
:PREROUTING ACCEPT [3639:215677]
:INPUT ACCEPT [75:3516]
:OUTPUT ACCEPT [23:1748]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sat Aug  3 12:07:59 2013
# Generated by iptables-save v1.4.14 on Sat Aug  3 12:07:59 2013
*filter
:INPUT DROP [747:32900]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [361:41644]
-A INPUT -i lo -j ACCEPT
-A INPUT -i wlan0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i wlan0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i etho -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i wlan0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -i eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i wlan0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sat Aug  3 12:07:59 2013

[AnrDaemon]

Разбирайтесь. Ищите отличия.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.3.8 on Sat Aug  3 17:19:53 2013
*mangle
:PREROUTING ACCEPT [19094223:12015522503]
:INPUT ACCEPT [7280903:3545649894]
:FORWARD ACCEPT [11813225:8469863017]
:OUTPUT ACCEPT [7691616:3698888428]
:POSTROUTING ACCEPT [19051377:12107252989]
-A FORWARD -i ppp+ -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1357:1500 -j TCPMSS --set-mss 1356
COMMIT
# Completed on Sat Aug  3 17:19:53 2013
# Generated by iptables-save v1.3.8 on Sat Aug  3 17:19:53 2013
*nat
:PREROUTING ACCEPT [314815:18616858]
:POSTROUTING ACCEPT [81417:6471350]
:OUTPUT ACCEPT [75591:6238310]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A POSTROUTING -s 192.168.35.0/255.255.255.0 -d ! 192.168.35.0/255.255.255.0 -m conntrack --ctstate NEW -j SNAT --to-source 192.168.10.2
COMMIT
# Completed on Sat Aug  3 17:19:53 2013
# Generated by iptables-save v1.3.8 on Sat Aug  3 17:19:53 2013
*filter
:INPUT DROP [91166:5701586]
:FORWARD DROP [60:3495]
:OUTPUT ACCEPT [7239393:3637048414]
:NOWAY - [0:0]
:SSH_CHECK - [0:0]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -s 192.168.35.0/255.255.255.0 -i ! eth1 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m multiport --dports 9,22,25,110 -m conntrack --ctstate NEW -j SSH_CHECK
-A INPUT -p tcp -m tcp --dport 9 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -m conntrack --ctstate NEW -j NOWAY
-A INPUT -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -j NOWAY
-A INPUT -p tcp -m tcp --dport 110 -m conntrack --ctstate NEW -j NOWAY
-A INPUT -p tcp -m tcp --dport 1723 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i ! eth1 -j LOG --log-prefix "IPT-INPUT "
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -s 192.168.35.0/255.255.255.0 -i ! eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -i ! eth1 -j LOG --log-prefix "IPT-FORWARD "
-A OUTPUT -o lo -p tcp -m tcp --dport 25 -m conntrack --ctstate NEW -j ACCEPT
-A NOWAY -p tcp -j REJECT --reject-with tcp-reset
-A NOWAY -j REJECT --reject-with icmp-port-unreachable
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --set --name SSH --rsource
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --update --seconds 90 --hitcount 4 --name SSH --rsource -j NOWAY
COMMIT
# Completed on Sat Aug  3 17:19:53 2013

P.S.
И переходите уже на использование iptables-restore.

[kv_msn]

Спасибо за пример буду изучать, сразу скажу что не ожидал, предполагал что будет как-то попроще. А можно сразу вопрос, зачем нужна строка:
 -A INPUT -m conntrack --ctstate INVALID -j DROP
ведь по умолчанию политика
 iptables -P INPUT DROP
т.е. все запрещено и все вх. пакеты будут отбрасываться кроме того что разрешено.

[AnrDaemon]

Там всё на самом деле просто. Просто строк немного больше, чем реально необходимо для работы, поскольку ещё настроена защита от подбора пароля (попросту - от "долбёжки").
А правило, как следует из самого правила, отсекает неправильные пакеты до того, как они попадут в другие правила.

[fisher74]

А правило, как следует из самого правила, отсекает неправильные пакеты до того, как они попадут в другие правила.

.. и дополнительно не нагружать ядро обработкой таких пакетов.

[shet.biz]

Добрый день! Есть немного не тривиальная проблема !
Значит имеем VPN сервер поднятый на VPS сервере
ifconfig

(Нажмите, чтобы показать/скрыть)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:117 errors:0 dropped:0 overruns:0 frame:0
          TX packets:117 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:12303 (12.3 KB)  TX bytes:12303 (12.3 KB)

venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:127.0.0.2  P-t-P:127.0.0.2  Bcast:0.0.0.0  Mask:255.255.255.255
          inet6 addr: 2a00:f940:2:1:2::a63/65 Scope:Global
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:31916 errors:0 dropped:0 overruns:0 frame:0
          TX packets:35843 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:3245587 (3.2 MB)  TX bytes:5877886 (5.8 MB)

venet0:0  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:XXX.XXX.XXX.XXX  P-t-P:XXX.XXX.XXX.XXX  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1

вот настройки iptables

(Нажмите, чтобы показать/скрыть)

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     gre  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:1723

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             10.20.20.0/24
ACCEPT     all  --  10.20.20.0/24        anywhere

данные настройки позволяют поднимать VPN соединение
при соединение в сетевухах появляется новое устройство ppp0 ip сервера при этом 192.168.11.1 а клиента 192.168.11.2

задача пробросить пакеты пришедшие на порт YY внешнего ip сервера XXX.XXX.XXX.XXX  на ip адрес vpn клиента на тот же порт тоесть на 192.168.11.2:YY

прошу помощи так как не имею достаточного уровня в настройки iptables и все мои опыты ни к чему ни привели!

[fisher74]

вот настройки iptables
iptables -L

Это не настройки,  а слабая отрыжка состояния цепочек таблицы filter.
Стотыщмильонов раз уже писали, что настройки Iptables показывать командой iptables-save

[shet.biz]

миллион раз извиняюсь за невнимательность
iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.12 on Thu Aug  8 19:55:45 2013
*nat
:PREROUTING ACCEPT [51:4901]
:POSTROUTING ACCEPT [1:60]
:OUTPUT ACCEPT [4:270]
-A POSTROUTING -o venet0 -j MASQUERADE
COMMIT
# Completed on Thu Aug  8 19:55:45 2013
# Generated by iptables-save v1.4.12 on Thu Aug  8 19:55:45 2013
*raw
:PREROUTING ACCEPT [4998:393909]
:OUTPUT ACCEPT [4434:286424]
COMMIT
# Completed on Thu Aug  8 19:55:45 2013
# Generated by iptables-save v1.4.12 on Thu Aug  8 19:55:45 2013
*mangle
:PREROUTING ACCEPT [4998:393909]
:INPUT ACCEPT [4569:356609]
:FORWARD ACCEPT [317:21490]
:OUTPUT ACCEPT [4434:286424]
:POSTROUTING ACCEPT [4751:307914]
COMMIT
# Completed on Thu Aug  8 19:55:45 2013
# Generated by iptables-save v1.4.12 on Thu Aug  8 19:55:45 2013
*filter
:INPUT ACCEPT [644:53279]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1305:91558]
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -i ppp+ -o ppp+ -j ACCEPT
-A FORWARD -d 192.168.11.0/24 -i venet0 -j ACCEPT
-A FORWARD -s 192.168.11.0/24 -o venet0 -j ACCEPT
COMMIT
# Completed on Thu Aug  8 19:55:45 2013

[kv_msn]

Переделал вроде бы все понятно кроме назначение этой строки:
-A INPUT -s 10.20.20.0/24 -i !eth0 -m conntrack --ctstate NEW -j ACCEPT
На сколько я правильно понял, то здесь разрешены новые входящие соединения кроме пакетов из сети 10.20.20.0/24 пришедшей через любой интерфес кроме eth0?
iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.14 on Sat Aug 10 13:59:17 2013
*mangle
:PREROUTING ACCEPT [3682:1192376]
:INPUT ACCEPT [595:51241]
:FORWARD ACCEPT [3087:1141135]
:OUTPUT ACCEPT [317:46888]
:POSTROUTING ACCEPT [3404:1188023]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sat Aug 10 13:59:17 2013
# Generated by iptables-save v1.4.14 on Sat Aug 10 13:59:17 2013
*nat
:PREROUTING ACCEPT [204:16275]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sat Aug 10 13:59:17 2013
# Generated by iptables-save v1.4.14 on Sat Aug 10 13:59:17 2013
*filter
:INPUT DROP [149:12793]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [340:49760]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 10.20.20.0/24 -i !eth0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m mac --mac-source 00:00:00:00:00:01 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m mac --mac-source 00:00:00:00:00:02 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -i wlan0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT"

Пользователь решил продолжить мысль 10 Августа 2013, 18:40:47:Еще вопрос нужно ли в данном случае блокировать сети на eth0?
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP

[ArcFi]

Переделал вроде бы все понятно кроме назначение этой строки:
-A INPUT -s 10.20.20.0/24 ! -i eth0 -m conntrack --ctstate NEW -j ACCEPT
На сколько я правильно понял, то здесь разрешены новые входящие соединения из сети 10.20.20.0/24 пришедшей через любой интерфес кроме eth0?

fixed

[AnrDaemon]

Переделал вроде бы все понятно кроме назначение этой строки:
-A INPUT -s 10.20.20.0/24 -i !eth0 -m conntrack --ctstate NEW -j ACCEPT
На сколько я правильно понял, то здесь разрешены новые входящие соединения кроме пакетов из сети 10.20.20.0/24 пришедшей через любой интерфес кроме eth0?

Вот поэтому я предпочитаю писать интерфейсы в правилах первыми.
Чтобы таких непоняток не возникало.

[delovoy]

Отрывок:

(Нажмите, чтобы показать/скрыть)

6.4.3.1. Критерий Limit

Должен подгружаться явно ключом -m limit. Прекрасно подходит для правил, производящих запись в системный журнал (logging) и т.п. Добавляя этот критерий, мы тем самым устанавливаем предельное число пакетов в единицу времени, которое способно пропустить правило. Можно использовать символ ! для инверсии, например -m limit ! --limit 5/s. В этом случае подразумевается, что пакеты будут проходить правило только после превышения ограничения.

Более наглядно этот критерий можно представить себе как некоторую емкость с выпускным отверстием, через которое проходит определенное число пакетов за единицу времени (т.е. скорость "вытекания"). Скорость "вытекания" как раз и определяет величина --limit. Величина --limit-burst задает общий "объем емкости". А теперь представим себе правило --limit 3/minute --limit-burst 5, тогда после поступления 5 пакетов (за очень короткий промежуток времени), емкость "наполнится" и каждый последующий пакет будет вызывать "переполнение" емкости, т.е. "срабатывание" критерия. Через 20 секунд "уровень" в емкости будет понижен (в соответствии с величиной --limit), таким образом она готова будет принять еще один пакет, не вызывая "переполнения" емкости, т.е. срабатывания критерия.

Рассмотрим еще подробнее.

Предположим наличие правила, содержащего критерий -m limit --limit 5/second --limit-burst 10. Ключ limit-burst установил объем "емкости" равный 10-ти. Каждый пакет, который подпадает под указанное правило, направляется в эту емкость.

Допустим, в течение 1/1000 секунды, мы получили 10 пакетов, тогда с получением каждого пакета "уровень" в "емкости" будет возрастать: 1-2-3-4-5-6-7-8-9-10.

Емкость наполнилась. Теперь пакеты, подпадающие под наше ограничительное правило, больше не смогут попасть в эту "емкость" (там просто нет места), поэтому они (пакеты) пойдут дальше по набору правил, пока не будут явно восприняты одним из них, либо подвергнутся политике по-умолчанию.

Каждые 1/5 секунды "уровень" в воображаемой емкости снижается на 1, и так до тех пор, пока "емкость" не будет опустошена. Через секунду, после приема 10-ти пакетов "емкость" готова будет принять еще 5 пакетов.

Само собой разумеется, что "уровень" в "емкости" возрастает на 1 с каждым вновь пришедшим пакетом.

От переводчика: Очень долгое время мое понимание критериев limit находилось на интуитивном уровне, пока Владимир Холманов (снимаю шляпу в глубочайшем поклоне) не объяснил мне просто и понятно его суть. Постараюсь передать его пояснения:

Расширение -m limit подразумевает наличие ключей --limit и --limit-burst. Если вы не указываете эти ключи, то они принимают значение по-умолчанию.

Ключ --limit-burst - это максимальное значение счетчика пакетов, при котором срабатывает ограничение.

Ключ --limit - это скорость, с которой счетчик burst limit "откручивается назад".

Принцип, который просто реализуется на C и широко используется во многих алгоритмах-ограничителях.

Таблица 6-8. Ключи критерия limit

Ключ   --limit
Пример   iptables -A INPUT -m limit --limit 3/hour
Описание   Устанавливается средняя скорость "освобождения емкости" за единицу времени. В качестве аргумента указывается число пакетов и время. Допустимыми считаются следующие единицы измерения времени: /second /minute /hour /day. По умолчанию принято значение 3 пакета в час, или 3/hour. Использование флага инверсии условия ! в данном критерии недопустим.
Ключ   --limit-burst
Пример   iptables -A INPUT -m limit --limit-burst 5
Описание   Устанавливает максимальное значение числа burst limit для критерия limit. Это число увеличивается на единицу если получен пакет, подпадающий под действие данного правила, и при этом средняя скорость (задаваемая ключом --limit) поступления пакетов уже достигнута. Так происходит до тех пор, пока число burst limit не достигнет максимального значения, устанавливаемого ключом --limit-burst. После этого правило начинает пропускать пакеты со скоростью, задаваемой ключом --limit. Значение по-умолчанию принимается равным 5. Для демонстрации принципов работы данного критерия я написал сценарий Limit-match.txt С помощью этого сценария вы увидите как работает критерий limit, просто посылая ping-пакеты с различными временнЫми интервалами.

Вопрос: Где и как можно применить оное, на примере, пожалуйста. Буду благодарен.

[AnrDaemon]

В нормальной ситуации - очень мало где, так как эти правила влияют на пропускную способность сети.
Но вот когда НАДО повлиять на пропускную способность сети (например, снизить эффективность атаки) - вот тогда...

[kv_msn]

Вот поэтому я предпочитаю писать интерфейсы в правилах первыми.
Чтобы таких непоняток не возникало.

Iptables наверное одна из сложнейших тема для изучения, особенно для новичков. Даже пример рассмотреть тяжело, не понимая сути прохождения пакетов по цепочкам. Схема которая приложена на opennet

(Нажмите, чтобы показать/скрыть)

http://www.opennet.ru/docs/RUS/iptables/

, сложна для понимания и отображает обобщенный вариант.
Я всегда выкладываю и скрипт с комментариями, там я указываю как я понимаю данное правило. Сейчас опять переделал немного скрипт, при таких настройках точка работает, ноут и телефон получают ip адр. и выход в интернет.
Сам скрипт

(Нажмите, чтобы показать/скрыть)

#!/bin/bash

echo "Loading iptables rules"

#Удалить все существующие правила
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

#Политика по умолчанию
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#Это правило определяет что на исх. пакеты(из lan) проходящие через eth0 выполняется маскардинг
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


#Правила для таблицы INPUT
iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
#Диапазон адресов IPv4 для частных сетей(заблокированы на внешнем интерфейсе)
iptables -A INPUT -i eth0 -s 10.0.0.0/8  -m conntrack --ctstate NEW -j DROP
#iptables -A INPUT -i eth0 -s 172.16.0.0/12  -m conntrack --ctstate NEW -j DROP
#iptables -A INPUT -i eth0 -s 192.168.0.0/16  -m conntrack --ctstate NEW -j DROP
iptables -A INPUT -i eth0 -s 224.0.0.0/4  -m conntrack --ctstate NEW -j DROP
iptables -A INPUT -i eth0 -s 240.0.0.0/5  -m conntrack --ctstate NEW -j DROP
iptables -A INPUT -i eth0 -s 127.0.0.0/8  -m conntrack --ctstate NEW -j DROP
#Это правило разрешает вх. пакеты на lo и  wlan0
iptables -A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
iptables -A INPUT -i wlan0 -m conntrack --ctstate NEW -j ACCEPT
#Разрешены уже установленные соединения.
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
#Открытие порта 22 на внешнем интерфейсе для определенных МАС
iptables -A INPUT -i eth0 -p tcp -m tcp --destination-port 22 -m mac --mac-source 00:00:00:00:00:01 -m conntrack --ctstate NEW -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m tcp --destination-port 22 -m mac --mac-source 00:00:00:00:00:02 -m conntrack --ctstate NEW -j ACCEPT


#Правила для таблицы FORWARD
iptables -A FORWARD -m conntrack --ctstate INVALID -j DROP
#Это правило для разрешения новых соед. из lan сети через wlan0
iptables -A FORWARD -i wlan0 -m conntrack --ctstate NEW -j ACCEPT
#Эти правила нужны для поддержания исходящих уже установленных соединений в цепочке FORWARD
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

#На сколько я правильно понял, это правило для контроля RST и SYN битов
iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags RST,SYN SYN -j TCPMSS --clamp-mss-to-pmtu

echo "Done"

exit

iptables-save

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.14 on Sat Aug 17 10:54:54 2013
*mangle
:PREROUTING ACCEPT [236:24341]
:INPUT ACCEPT [107:10592]
:FORWARD ACCEPT [129:13749]
:OUTPUT ACCEPT [68:6786]
:POSTROUTING ACCEPT [198:20863]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sat Aug 17 10:54:54 2013
# Generated by iptables-save v1.4.14 on Sat Aug 17 10:54:54 2013
*nat
:PREROUTING ACCEPT [49:5440]
:INPUT ACCEPT [1:334]
:OUTPUT ACCEPT [4:819]
:POSTROUTING ACCEPT [2:667]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sat Aug 17 10:54:54 2013
# Generated by iptables-save v1.4.14 on Sat Aug 17 10:54:54 2013
*filter
:INPUT DROP [37:4102]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [85:8966]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -s 10.0.0.0/8 -i eth0 -m conntrack --ctstate NEW -j DROP
-A INPUT -s 224.0.0.0/4 -i eth0 -m conntrack --ctstate NEW -j DROP
-A INPUT -s 240.0.0.0/5 -i eth0 -m conntrack --ctstate NEW -j DROP
-A INPUT -s 127.0.0.0/8 -i eth0 -m conntrack --ctstate NEW -j DROP
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i wlan0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m mac --mac-source 00:00:00:00:00:01 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m mac --mac-source 00:00:00:00:00:02 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -i wlan0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sat Aug 17 10:54:54 2013

[AnrDaemon]

iptables проста как валенок.
http://www.docum.org/docum.org/kptd/
Всё.