iptables question

1. Livre-se da regra final e torne a política padrão DROP ( iptables -P INPUT DROP )
2. Este conjunto de regras não manipula os pacotes de retorno das conexões de saída; adicione iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT na parte superior (a menos que você queira não permitir conexões de saída, em cujo caso algumas regras OUTPUT deixariam isso mais claro).
3. Crie a política FORWARD chain DROP , para o caso de alguém fat-fingers /proc/sys/net/ipv4/ip_forward .

Eu recomendo vivamente o uso de um wrapper em torno de IPtables. Por si só, fica bastante feio além das regras simples que você precisa.

Nós usamos FireHOL com bons resultados - existem pacotes Debian / Ubuntu na distro padrão e RHEL / CentOS via RPMForge ( iirc).

Uma configuração do firehol para as regras que você descreve seria da seguinte forma:

my_ips="<your server list>"
interface any world 
        protection strong 100/sec 50
        policy drop
        server ident reject with tcp-reset
        server ssh accept
        server http accept
        server https accept
        server all accept src "$my_ips"

Também não é muito difícil criar regras completas de roteador - o exemplo acima é para um firewall local (sem roteamento), como você descreve em sua pergunta.

FireHOL e outros invólucros IPtables, também tendem a adicionar (ou tornar mais fácil adicionar) padrões sensíveis às suas regras de firewall que filtram pacotes conhecidos como ruins - por exemplo, a linha de 'proteção' acima, que acaba criando muitos (10+) regras iptables úteis.

Outro motivo pelo qual eu prefiro o FireHOL é que o arquivo de configuração ainda é apenas um script bash, permitindo a flexibilidade total de qualquer shell script IPtables que você acabaria escrevendo.

Para sua última regra. Seria mais amigável para a Internet para rejeitar o pacote, ao invés de soltar. Algo como ...

iptables -A INPUT -j REJECT --rejeita com icmp-host-proibido