# Защита от Syn-flood, (принцип работы подробнее см. выше в HOWTO)

iptables -A FORWARD -p tcp -d $OUR_NET   --syn -m limit --limit 1/s -j ACCEPT

iptables -A INPUT   -p tcp -d $SERVER_IP --syn -m limit --limit 1/s -j ACCEPT

# Защита от скрытого сканирования портов (Furtive port scanner)

iptables -A FORWARD -p tcp -d $OUR_NET   --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

iptables -A INPUT   -p tcp -d $SERVER_IP --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

# Ping of Death

iptables -A FORWARD -p icmp -d $OUR_NET  --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

iptables -A INPUT -p icmp  -d $SERVER_IP --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# Разрешаем прохождение пакетов от и к нашему http (https) серверу. Обращение к веб-серверу из внутренней сети

# считать будем отдельно

iptables -A INPUT  -p tcp -i bridge0 -s $OUR_NET --sport $UNPRIVPORTS -d $SERVER_IP --dport 80 -j ACCEPT

iptables -A OUTPUT -p tcp -o bridge0 -d $OUR_NET --dport $UNPRIVPORTS -s $SERVER_IP --sport 80 -j ACCEPT

# остальные обращения

iptables -A INPUT  -p tcp -i bridge0 --sport $UNPRIVPORTS -d $SERVER_IP --dport 80 -j ACCEPT

iptables -A OUTPUT -p tcp -o bridge0 --dport $UNPRIVPORTS -s $SERVER_IP --sport 80 -j ACCEPT

iptables -A INPUT  -p tcp -i bridge0 --sport $UNPRIVPORTS -d $SERVER_IP --dport 443 -j ACCEPT

iptables -A OUTPUT -p tcp -o bridge0 --dport $UNPRIVPORTS -s $SERVER_IP --sport 443 -j ACCEPT

# Задаём адреса, с которых можно администрировать наш сервер через ssh, пусть это будут COMPUTER1 и COMPUTER2

iptables -A INPUT  -p tcp -i bridge0 -s $COMPUTER1_IP --sport $UNPRIVPORTS -d $SERVER_IP --dport 22 -m mac

--mac-source $COMPUTER1_MAC -j ACCEPT

iptables -A OUTPUT -p tcp -o bridge0 -s $SERVER_IP --sport 22 -d $COMPUTER1_IP --dport $UNPRIVPORTS -j ACCEPT