# Сбрасываем все правила.

iptables -F

# Устанавливаем на всех цепочках политику, по умолчанию – всё запрещено.

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

# При необходимости следует повторить всё то же самое для  дополнительных таблиц, если они используются, например, iptables -t mangle -F

# Правила для loopback, разрешить прохождение пакетов по интерфейсу обратной петли

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

# Выкидывать все пакеты, которые имеют адрес интерфейса обратной петли и попадают к нам из других интерфейсов,

# отличающихся от lo. При работе это правило не используется, скорее оно служит защитой «от дурака» или «умного

# взломщика».

iptables -A INPUT -d 127.0.0.1/8 -i ! lo -j DROP

# считаем весь приходящий трафик на адрес сервера $SERVER_IP

iptables -A INPUT -p tcp -i bridge0 -d $SERVER_IP

# Запрещаем «плохим» пакетам прохождение через мост, чтобы они не попадали на компьютеры за мостом. Делаем запись в логах.

# При нормальной работе сети таких пакетов быть не должно.

iptables -A FORWARD -p tcp -d $OUR_NET --tcp-flags ALL FIN,URG,PSH -m limit --limit 5/minute -j LOG --log-level notice

--log-prefix "NMAP-XMAS: "

iptables -A FORWARD -p tcp -d $OUR_NET --tcp-flags ALL FIN,URG,PSH -j DROP

iptables -A FORWARD -p tcp -d $OUR_NET --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/minute -j LOG --log-level notice

--log-prefix "SYN/FIN: "

iptables -A FORWARD -p tcp -d $OUR_NET --tcp-flags SYN,FIN SYN,FIN -j DROP