iptables -A INPUT  -p tcp -i bridge0 -s $COMPUTER2_IP --sport $UNPRIVPORTS -d $SERVER_IP --dport 22 -m mac

--mac-source $COMPUTER2_MAC -j ACCEPT

iptables -A OUTPUT -p tcp -o bridge0 -s $SERVER_IP --sport 22 -d $COMPUTER2_IP --dport $UNPRIVPORTS -j ACCEPT

# Выбрасываем все нелегитимные пакеты (RFC 1918). При правильной настройке их не должно быть в сети с реальными адресами.

iptables -A FORWARD -s $CLASS_A -j DROP

iptables -A FORWARD -s $CLASS_B -j DROP

iptables -A FORWARD -s $CLASS_C -j DROP

# Блокируем пакеты, которые мы считаем ненужными. Допишите правила сами. Ниже блокируется «сетевое окружение

# (smb-протокол)» и иже с ним. Чтобы из внешней сети никто не нашёл забытые share-ресурсы в локальной сети,

# если кто-то что-то забыл закрыть. А из сети в Интернет вряд ли кто-то полезет.

iptables -A FORWARD -s ! $OUR_NET -d $OUR_NET -p tcp --dport 137:139 -j DROP

iptables -A FORWARD -s ! $OUR_NET -d $OUR_NET -p udp --dport 137:139 -j DROP

iptables -A FORWARD -s $OUR_NET -d ! $OUR_NET -p tcp --dport 137:139 -j DROP

iptables -A FORWARD -s $OUR_NET -d ! $OUR_NET -p udp --dport 137:139 -j DROP

# У меня возникло желание прикрыть часто приходящие проверки на наличие proxy и mssql в процессе работы моста.

iptables -A FORWARD -d $OUR_NET -p tcp --dport 1433 -j DROP

iptables -A FORWARD -d $OUR_NET -p tcp --dport 3128 -j DROP

# Разрешим серверу общаться с DNS-серверами, если есть опасения о безопасности, то правила можно переписать

# для конкретных проверенных DNS-cерверов.

iptables -A OUTPUT -p tcp -s $SERVER_IP --sport $UNPRIVPORTS --dport 53 -j ACCEPT

iptables -A INPUT  -p tcp --syn -d $SERVER_IP --dport $UNPRIVPORTS --sport 53 -j ACCEPT

iptables -A OUTPUT -p udp -s $SERVER_IP --sport $UNPRIVPORTS --dport 53 -j ACCEPT

iptables -A INPUT  -p udp -d $SERVER_IP --dport $UNPRIVPORTS --sport 53 -j ACCEPT