Настройка IPTABLES

sergleo · Отправлено: **13:10, 17-09-2003** | #11

Ок, если вы уже набрали этот кусок кода то лучше по порядку - структура:
1. начинаем с подготовки iptables - 1-й кусок скриптов отправленный 15:46 16-09-2003 . ВНИМАНИЕ! Все остальное вставляется в участок где стоят теги <поцокано>
2. вставляем участок скриптов отправленный 17:17 16-09-2003.
3. следующим идет кусок скрипта для работы с AUTH и DNS т.к. к ним идет наибольший трафик(проверено iptraf`ом)
#------------------------------------------------------------------
# Required Services
#------------------------------------------------------------------

#------------------------------------------------------------------
# AUTH (113) - Allowing Your Outgoing AUTH Requests as a Client
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX *--sport 1024:65535 -d any/0 --dport 113 -j ACCEPT
-A INPUT *-i eth1 -p tcp ! --syn -s any/0 --sport 113 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
#---------------------------------
# AUTH server (113)
# Accepting Incoming AUTH Requests
-A INPUT *-i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX *--dport 113 -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 113 -d any/0 --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# OR Rejecting Incoming AUTH Requests
#-A INPUT -i eth0 -p tcp -d 10.0.0.254 --dport 113 -j REJECT
#-A INPUT -i eth1 -p tcp -d XXX.XXX.XXX.XXX --dport 113 -j REJECT

#------------------------------------------------------------------
# DNS (53)
# ---------------------

#------------------------------------------------------------------
# DNS client modes (53)
# ---------------------
-A OUTPUT -o eth1 -p udp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d a.a.a.a --dport 53 -j ACCEPT
-A INPUT *-i eth1 -p udp -s a.a.a.a *--sport 53 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
-A OUTPUT -o eth1 -p udp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d b.b.b.b --dport 53 -j ACCEPT
-A INPUT *-i eth1 -p udp -s b.b.b.b --sport 53 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# TCP client to server requests are allowed by the protocol
# if UDP requests fail. This is rarely seen. Usually, clients
# use TCP as a secondary nameserver for zone transfers from
# their primary nameservers, and as hackers.
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d a.a.a.a --dport 53 -j ACCEPT
-A INPUT *-i eth1 -p tcp ! --syn -s a.a.a.a --sport 53 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d b.b.b.b --dport 53 -j ACCEPT
-A INPUT *-i eth1 -p tcp ! --syn -s b.b.b.b --sport 53 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# DNS server modes (53)
# ---------------------
# DNS caching & forwarding nameserver
# -----------------------------------
# server to server query or response
# Caching only name server uses UDP, not TCP
-A OUTPUT -o eth1 -p udp -s XXX.XXX.XXX.XXX --sport 53 -d a.a.a.a --dport 53 -j ACCEPT
-A INPUT *-i eth1 -p udp -s a.a.a.a *--sport 53 -d XXX.XXX.XXX.XXX --dport 53 -j ACCEPT
-A OUTPUT -o eth1 -p udp -s XXX.XXX.XXX.XXX --sport 53 -d b.b.b.b --dport 53 -j ACCEPT
-A INPUT *-i eth1 -p udp -s b.b.b.b --sport 53 -d XXX.XXX.XXX.XXX --dport 53 -j ACCEPT
#------------------------------------------------------------------
# DNS full nameserver
# -------------------
# client to server DNS transaction
-A INPUT *-i eth1 -p udp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 53 -j ACCEPT
-A OUTPUT -o eth1 -p udp -s XXX.XXX.XXX.XXX --sport 53 -d any/0 --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# peer-to-peer server DNS transaction
-A INPUT *-i eth1 -p udp -s a.a.a.a *--sport 53 -d XXX.XXX.XXX.XXX --dport 53 -j ACCEPT
-A OUTPUT -o eth1 -p udp -s XXX.XXX.XXX.XXX --sport 53 -d a.a.a.a --dport 53 -j ACCEPT
-A INPUT *-i eth1 -p udp -s b.b.b.b --sport 53 -d XXX.XXX.XXX.XXX --dport 53 -j ACCEPT
-A OUTPUT -o eth1 -p udp -s XXX.XXX.XXX.XXX --sport 53 -d b.b.b.b --dport 53 -j ACCEPT
#------------------------------------------------------------------
# Zone Transfers
# due to the potential danger of zone transfers,
# only allow TCP traffic to specific secondaries.
-A INPUT *-i eth1 -p tcp -s a.a.a.a --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 53 -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 53 -d a.a.a.a --dport 1024:65535 -j ACCEPT
-A INPUT *-i eth1 -p tcp -s b.b.b.b --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 53 -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 53 -d b.b.b.b --dport 1024:65535 -j ACCEPT

Учти что это ты вставляешь после описания протокола icmp меду тегами поцокано... Блин повторяюсь...
Это и все остальное вставляем до описания:

#------------------------------------------------------------------
# Masquerade internal traffic.
# All internal traffic is masqueraded externally.
*nat
-A POSTROUTING -o eth1 -j MASQUERADE

т.к. используем по умолчанию таблицу *filter, а таблица *nat нужна несколько для других целей например для маскарадинга и переброса портов.

Учти что ххх.ххх.ххх.ххх - IP адрес внешнего интерфейса,
а.а.а.а - ip адрес 1-го DNS сервера провайдера *а b.b.b.b второй соответственно

PS. далее стандартно /etc/rc.d/init.d/iptables restart *перезапускаем iptables он должен написать что у тебя все OK

Вопросы?
следующим рассмотри например www...

Добавлено:

Продолжаем...
#------------------------------------------------------------------
# TCP services on selected ports
#------------------------------------------------------------------

#------------------------------------------------------------------
# HTTP (80)
#------------------------------------------------------------------
# Accessing Remote Web Sites as a Client
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d any/0 --dport 80 -j ACCEPT
-A INPUT -i eth1 -p tcp ! --syn -s any/0 --sport 80 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# Allowing Remote Access to a Local Web Server
-A INPUT -i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 80 -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 80 -d any/0 --dport 1024:65535 -j ACCEPT

#------------------------------------------------------------------
# HTTPS (443)
#------------------------------------------------------------------
# Accessing Remote Web Sites Over SSL as a Client
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d any/0 --dport 443 -j ACCEPT
-A INPUT -i eth1 -p tcp ! --syn -s any/0 --sport 443 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# Allowing Remote Access to a Local SSL Web Server
-A INPUT -i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 443 -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 443 -d any/0 --dport 1024:65535 -j ACCEPT

где xxx.xxx.xxx.xxx - IP адрес внешней сетевой карты... смотрящей на провайдера...

Добавлено:

раздаем ftp

#------------------------------------------------------------------
# FTP (20, 21) - Allowing Outgoing Client Access to Remote FTP Servers
# --------------------------------------------------------------------
# outgoing request
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d any/0 --dport 21 -j ACCEPT
-A INPUT -i eth1 -p tcp ! --syn -s any/0 --sport 21 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# Normal Port Mode FTP Data Channels
-A INPUT -i eth1 -p tcp -s any/0 --sport 20 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 1024:65535 -d any/0 --dport 20 -j ACCEPT
#------------------------------------------------------------------
# Passive Mode FTP Data Channels
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d any/0 --dport 1024:65535 -j ACCEPT
-A INPUT -i eth1 -p tcp ! --syn -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT

#------------------------------------------------------------------
# FTP (20, 21) - Allowing Incoming Access to Your Local FTP Server
# ----------------------------------------------------------------
# incoming request
-A INPUT -i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 21 -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 21 -d any/0 --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# Normal Port Mode FTP Data Channel Responses
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 20 -d any/0 --dport 1024:65535 -j ACCEPT
-A INPUT -i eth1 -p tcp ! --syn -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 20 -j ACCEPT
#------------------------------------------------------------------
# Passive Mode FTP Data Channel Responses
-A INPUT -i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 1024:65535 -d any/0 --dport 1024:65535 -j ACCEPT
продолжение следует....

Добавлено:

Остальные сервисы...

#------------------------------------------------------------------
# SSH client (22)
#------------------------------------------------------------------
# Allowing Client Access to Remote SSH Servers
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d any/0 --dport 22 -j ACCEPT
-A INPUT -i eth1 -p tcp ! --syn -s any/0 --sport 22 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1020:1023 -d any/0 --dport 22 -j ACCEPT
-A INPUT -i eth1 -p tcp ! --syn -s any/0 --sport 22 -d XXX.XXX.XXX.XXX --dport 1020:1023 -j ACCEPT
#------------------------------------------------------------------
# Allowing Remote Client Access to Your Local SSH Server
-A INPUT -i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 22 -j DROP
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 22 -d any/0 --dport 1024:65535 -j DROP
-A INPUT -i eth1 -p tcp -s any/0 --sport 1020:1023 -d XXX.XXX.XXX.XXX --dport 22 -j DROP
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 22 -d any/0 --dport 1020:1023 -j DROP

#------------------------------------------------------------------
# Sending Mail through a remote SMTP gateway (25)
# -----------------------------------------------
# SMTP client to an ISP account without a local server
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d any/0 --dport 25 -j ACCEPT
-A INPUT -i eth1 -p tcp ! --syn -s any/0 --sport 25 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# Receiving Mail as a Local SMTP server (25)
# ------------------------------------------
-A INPUT -i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 25 -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 25 -d any/0 --dport 1024:65535 -j ACCEPT

#------------------------------------------------------------------
# POP (110)
#------------------------------------------------------------------
# Retrieving Mail as a POP Client
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d any/0 --dport 110 -j ACCEPT
-A INPUT -i eth1 -p tcp ! --syn -s any/0 --sport 110 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# Hosting a POP Server for Remote Clients
-A INPUT -i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 110 -j DROP
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 110 -d any/0 --dport 1024:65535 -j DROP

#------------------------------------------------------------------
# IMAP (143)
#------------------------------------------------------------------
# Retrieving Mail as an IMAP Client
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d any/0 --dport 143 -j ACCEPT
-A INPUT -i eth1 -p tcp ! --syn -s any/0 --sport 143 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# Hosting an IMAP Server for Remote Clients
-A INPUT -i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 143 -j DROP
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 143 -d any/0 --dport 1024:65535 -j DROP

#------------------------------------------------------------------
# TELNET (23)
#------------------------------------------------------------------
# Allowing Outgoing Client Access to Remote Sites
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d any/0 --dport 23 -j ACCEPT
-A INPUT -i eth1 -p tcp ! --syn -s any/0 --sport 23 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# Allowing Incoming Access to Your Local Server
-A INPUT -i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 23 -j DROP
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 23 -d any/0 --dport 1024:65535 -j DROP

#------------------------------------------------------------------
# NNTP (119)
#------------------------------------------------------------------
# Reading and Posting News as a Usenet Client
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d any/0 --dport 119 -j ACCEPT
-A INPUT -i eth1 -p tcp ! --syn -s any/0 --sport 119 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# Hosting a Usenet News Server for Remote Clients
-A INPUT -i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 119 -j DROP
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 119 -d any/0 --dport 1024:65535 -j DROP
#------------------------------------------------------------------
# Allowing Peer News Feeds for a Local Usenet Server
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d any/0 --dport 119 -j DROP
-A INPUT -i eth1 -p tcp ! --syn -s any/0 --sport 119 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j DROP

#------------------------------------------------------------------
# FINGER (79)
#------------------------------------------------------------------
# Accessing Remote finger Servers as a Client
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d any/0 --dport 79 -j ACCEPT
-A INPUT -i eth1 -p tcp ! --syn -s any/0 --sport 79 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# Allowing Remote Client Access to a Local finger Server
-A INPUT -i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 79 -j DROP
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 79 -d any/0 --dport 1024:65535 -j DROP

#------------------------------------------------------------------
# WHOIS client (43)
# -----------------
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d any/0 --dport 43 -j DROP
-A INPUT -i eth1 -p tcp ! --syn -s any/0 --sport 43 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j DROP

#------------------------------------------------------------------
# Gopher client (70)
# ------------------
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d any/0 --dport 70 -j DROP
-A INPUT -i eth1 -p tcp ! --syn -s any/0 --sport 70 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j DROP

#------------------------------------------------------------------
# WAIS client (210)
# -----------------
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d any/0 --dport 210 -j ACCEPT
-A INPUT -i eth1 -p tcp ! --syn -s any/0 --sport 210 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
далеее....

Добавлено:

Разрешаем traceroute (tracert в винде...)
#------------------------------------------------------------------
# UDP accept only on selected ports
#------------------------------------------------------------------

#------------------------------------------------------------------
# TRACEROUTE
# traceroute usually uses -S 32769:65535 -D 33434:33523
#------------------------------------------------------------------
# Enabling Outgoing traceroute Requests
-A OUTPUT -o eth1 -p udp -s XXX.XXX.XXX.XXX --sport 32769:65535 -d any/0 --dport 33434:33523 -j ACCEPT
#------------------------------------------------------------------
# incoming query from the ISP. All others are denied by default.
-A INPUT -i eth1 -p udp -s any/0 --sport 32769:65535 -d XXX.XXX.XXX.XXX --dport 33434:33523 -j ACCEPT

остались только правила запрета....

Добавлено:

#------------------------------------------------------------------
# SPOOFING & BAD ADDRESSES
# Refuse spoofed packets.
# Ignore blatantly illegal source addresses.
# Protect yourself from sending to bad addresses.
#------------------------------------------------------------------

#------------------------------------------------------------------
# Refuse packets claiming to be to or from a Class A private network
-A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
-A INPUT -i eth1 -d 10.0.0.0/8 -j DROP
-A OUTPUT -o eth1 -s 10.0.0.0/8 -j DROP
-A OUTPUT -o eth1 -d 10.0.0.0/8 -j DROP
#------------------------------------------------------------------
# Refuse packets claiming to be to or from a Class B private network
-A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
-A INPUT -i eth1 -d 172.16.0.0/12 -j DROP
-A OUTPUT -o eth1 -s 172.16.0.0/12 -j DROP
-A OUTPUT -o eth1 -d 172.16.0.0/12 -j DROP
#------------------------------------------------------------------
# Refuse packets claiming to be to or from a Class C private network
-A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
-A INPUT -i eth1 -d 192.168.0.0/16 -j DROP
-A OUTPUT -o eth1 -s 192.168.0.0/16 -j DROP
-A OUTPUT -o eth1 -d 192.168.0.0/16 -j DROP
#------------------------------------------------------------------
# Refuse Class D multicast addresses
# Multicast is only illegal as a source address.
# Multicast uses UDP
-A INPUT -i eth1 -s 224.0.0.0/4 -j DROP
-A OUTPUT -o eth1 -s 224.0.0.0/4 -j DROP
#------------------------------------------------------------------
# Refuse Class E reserved IP addresses
-A INPUT -i eth1 -s 240.0.0.0/5 -j DROP
-A OUTPUT -o eth1 -d 240.0.0.0/5 -j DROP
#------------------------------------------------------------------
# Refuse packets claiming to be from the loopback interface
-A INPUT -i eth1 -s 127.0.0.0/8 -j DROP
-A OUTPUT -o eth1 -s 127.0.0.0/8 -j DROP
#------------------------------------------------------------------
# Refuse spoofed packets pretending to be from
# the external interface's IP address
-A INPUT -i eth1 -s XXX.XXX.XXX.XXX -j DROP
#------------------------------------------------------------------
# Refuse malformed broadcast packets
-A INPUT -i eth1 -s 255.255.255.255 -j DROP
-A INPUT -i eth1 -d 0.0.0.0 -j DROP

#------------------------------------------------------------------
# UNPRIVILEGED PORTS
# Avoid ports subject to protocol & system administration problems.
#------------------------------------------------------------------

#------------------------------------------------------------------
# Open Windows:
#------------------------------------------------------------------
# establishing a connection
-A OUTPUT -o eth1 -p tcp --syn -s XXX.XXX.XXX.XXX -d any/0 --dport 2000 -j DROP
#------------------------------------------------------------------
# incoming connection
-A INPUT -i eth1 -p tcp --syn -d XXX.XXX.XXX.XXX --dport 2000 -j DROP

#------------------------------------------------------------------
# X Windows:
#------------------------------------------------------------------
# establishing a remote connection
-A OUTPUT -o eth1 -p tcp --syn -s XXX.XXX.XXX.XXX -d any/0 --dport 6000:6063 -j DROP
#------------------------------------------------------------------
# incoming connection attempt
-A INPUT -i eth1 -p tcp --syn -d XXX.XXX.XXX.XXX --dport 6000:6063 -j DROP

#------------------------------------------------------------------
# SOCKS:
#------------------------------------------------------------------
# establishing a connection
-A OUTPUT -o eth1 -p tcp --syn -s XXX.XXX.XXX.XXX -d any/0 --dport 1080 -j DROP
#------------------------------------------------------------------
# incoming connection
-A INPUT -i eth1 -p tcp --syn -d XXX.XXX.XXX.XXX --dport 1080 -j DROP

#------------------------------------------------------------------
# NFS:
#------------------------------------------------------------------
# TCP connections
-A INPUT -i eth1 -p tcp --syn -d XXX.XXX.XXX.XXX --dport 2049 -j DROP
-A OUTPUT -o eth1 -p tcp --syn -d any/0 --dport 2049 -j DROP
#------------------------------------------------------------------
# UDP connections
-A INPUT -i eth1 -p udp -d XXX.XXX.XXX.XXX --dport 2049 -j DROP
#------------------------------------------------------------------
# NFS incoming request (normal UDP mode)
-A OUTPUT -o eth1 -p udp -d any/0 --dport 2049 -j DROP

Добавлено:

Ну вот вроде и все.... теперь маленькие пояснения...

1. Это должно работать... во всяком случае у меня работает без проблем...
2. Правила запрета идут в конце скрипта что не совсем корректно для безопастности.... лучше их вставлять после описания протокола icmp. Но таким образом я несколько разгружаю сетевые средства iptables для увеличения быстродействия... ведь они все равно работают... и ловят...
3. Правила не оптимизированы те неспользуется механизм встроенных пользовательских обьявлений цепочек...
4. нет правил для SQUID`да и всяких там конференций и RealAudio

Ну вот вроде и все... Пишите... Вопросы... Замечания... добавления...

Да прибудет с тобой силя Linux