Normalmente um Firewall obedece uma seqncia lgica de declaraes, seguindo a seqncia abaixo listada

teremos algo bem prximo do que desejamos. Crie regras IPTABLES que realizem as tarefas descritas em
cada linha.
Lembre-se de analisar o tipo de pacote, o fluxo dos dados (entrada ou sada), interface de rede, IP, subrede ou
rede (origem e/ou destino), etc. Todas as caractersticas que influenciem em uma proteo efetiva.

Desligar Roteamento;

echo 0 > /proc/sys/net/ipv4/ip_forward
# Atribui o valor 0 ao arquivo ip_forward, o que desliga o roteamento de pacotes entre
# as interfaces de rede.

Limpar regras;

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

liberar acesso local;

iptables -A INPUT -i lo -j ACCEPT
#(permite entrada de pacotes na interface loopback)
iptables -A FORWARD -i lo -j ACCEPT
#(permite encaminhamento de pacotes que entrem na interface de rede loopback)


liberar ping;

iptables -A INPUT -p icmp -j ACCEPT
# Acrescenta uma regra na chain INPUT que aceita pacotes ICMP (ping)

Liberar porta DNS;

iptables -A INPUT -p udp --dport 53 -j ACCEPT
#aceita pacotes UDP com destino (destination) porta 53 (utilizada pelo DNS)
iptables -A INPUT -p udp --sport 53 -j ACCEPT
#aceita pacotes UDP originados (source) na porta 53

liberar porta do http;

iptables -A INPUT -p tcp -m multiport --dport 80,8080 -j ACCEPT
#aceita pacotes tcp com destino s portas 80, 8080
iptables -A INPUT -p tcp -m multiport --sport 80,8080 -j ACCEPT
#aceita pacotes tcp originados nas portas 80,8080
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
#aceita o encaminhamento de pacotes tcp com destino porta 80
iptables -A FORWARD -p tcp --sport 80 -j ACCEPT
#aceita o encaminhamento de pacotes originados na porta 80


liberar a porta do VNC;

iptables -A FORWARD -p tcp -m multiport --dport 5800,5900 -j ACCEPT
#aceita encaminhamento de pacotes (FORWARD) tcp com destino s portas 5800 e 5900 do VNC
iptables -A FORWARD -p tcp -m multiport --sport 5800,5900 -j ACCEPT
iptables -A FORWARD -p udp -m multiport --dport 5800,5900 -j ACCEPT
iptables -A FORWARD -p udp -m multiport --sport 5800,5900 -j ACCEPT

Redirecionar a porta do VNC;

iptables -t nat -A PREROUTING -s 0/0 -p tcp -m multiport --dport 5800,5900 -j DNAT --to-
destination 192.168.204.2
#manipula a tabela NAT inserindo uma regra na chain PREROUTING que aceita a traduo
#(DNAT) de tudo que se originar (-s) de qualquer rede(0/0)se utilizar do protocolo tcp e
#com destino s portas 5800 e 5900. Esse tipo de pacote que vier da rede externa e for
#traduzido para a rede interna ser redirecionado(--to-destination) para o IP
#192.168.204.2
iptables -t nat -A PREROUTING -s 0/0 -p udp -m multiport --dport 5800,5900 -j DNAT --to-
destination 192.168.204.2
#Mesma regra de cima, agora para pacotes UDP.

Proxy transparente;

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
#manipula a tabela nat inserindo uma regra na chain PREROUTING que redireciona pacotes
#que cheguem ao computador e se utilizem do protocolo TCP com destino porta 80. Esses
#pacotes sero redirecionados para a porta 8080 (nesse caso poderia ser 3128, ou
#qualquer outro nmero de porta que o administrador da rede pretenda utilizar como proxy
#transparente e no atrapalhe o funcionamento de outros servios.)

Fazer mascaramento (NAT);

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#Manipula a tabela NAT inserindo uma regra na chain POSTROUTING. Essa regra realiza o
MAscaramento (MASQUERADE) dos pacotes (NAT) de tudo que utilizar a interface de rede
eth0 como sada (output) (o).

liberar sada;

iptables -A OUTPUT -j ACCEPT

Ligar roteamento.

echo 1 > /proc/sys/net/ipv4/ip_forward