Untitled

# Очищаем список правил перед применением этого списка
iptables -F
iptables -t nat -F
iptables -t mangle -F

# Блочим всё и вся
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Разрешаем трафик lo и локалки
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i enp2s1 -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -o enp2s1 -j ACCEPT

# Разрешаем пинги
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# Разрешаем выход в интернет самому шлюзу
iptables -A OUTPUT -o enp2s2 -j ACCEPT

# Разрешаем транзитный трафик
iptables -A FORWARD -i enp2s1 -o enp2s2 -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -i enp2s2 -o enp2s1 -d 192.168.1.0/24 -j ACCEPT

# Разрешаем все установленные соединения и производные от них
iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

# NAT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o enp2s2 -j SNAT --to-source внешний_провайдерский_ip

# Открываем доступ из интернета к виндовому серваку по RDP
iptables -A PREROUTING -i enp2s2 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.110

# Блочим "нулевые" пакеты
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

# Блочим доступ с определённых IP
# iptables -A INPUT -s 1.1.1.1 -j REJECT

# Из локальной сети в интернет можно всем
iptables -A FORWARD -i enp2s1 -o enp2s2 -j ACCEPT

# Из интернета в локалку нельзя никому
iptables -A FORWARD -i enp2s2 -o enp2s1 -j REJECT

# Сохраняем правила для применения после перезагрызки
/sbin/iptables-save > /etc/sysconfig/iptables