iptables -A OUTPUT -p icmp --icmp-type fragmentation-needed -j ACCEPT

iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type time-exceeded -j ACCEPT

# Разрешаем на сервере делать ping и получать ответы

iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

# Для работы traceroute на сервере

iptables -A OUTPUT -p udp -s $SERVER_IP --sport $TRACEROUTE_SRC_PORTS --dport $TRACEROUTE_DST_PORTS -j ACCEPT

# Отбрасываем с уведомлением все пакеты, что сервер пытается послать наружу. При грамотной настройке пакеты не должны

# доходить до этого правила.

iptables -A OUTPUT -s $SERVER_IP -j REJECT

# Счётчики трафика + разрешение на пропускание трафика через мост: если можно разрешить, можно и запретить. Исходящий

# трафик привязываем к MAC-адресу сетевых карточек

iptables -A FORWARD -s $COMPUTER1_IP -m mac --mac-source $COMPUTER1_MAC -j ACCEPT

iptables -A FORWARD -d $COMPUTER1_IP -j ACCEPT

iptables -A FORWARD -s $COMPUTER2_IP -m mac --mac-source $COMPUTER2_MAC -j ACCEPT

iptables -A FORWARD -d $COMPUTER2_IP -j ACCEPT

iptables -A FORWARD -s $COMPUTER3_IP -m mac --mac-source $COMPUTER3_MAC -j ACCEPT

iptables -A FORWARD -d $COMPUTER3_IP -j ACCEPT

....

iptables -A FORWARD -s $COMPUTERn_IP -m mac --mac-source $COMPUTERn_MAC -j ACCEPT