Use estas regras do iptables:
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A INPUT -j REJECT
A primeira regra aceita tráfego de entrada solicitado, inspecionando o estado atribuído pelo módulo de rastreamento de conexão. Pacotes são aceitos quando o estado é:
ESTABELECIDO (pacotes que fazem parte de uma conexão existente que o firewall já decidiu permitir) ou RELACIONADO (pacotes que iniciariam uma nova conexão, mas são conhecidos por estarem relacionados a uma conexão existente).
O ICMP aqui (2ª regra) é um caso especial porque é parte integrante do Protocolo da Internet que todos os hosts devem suportar. Pode-se argumentar que o bloqueio do ICMP fornece alguns benefícios de segurança menores, no entanto, na maioria das situações, é provável que isso cause mais transtornos para usuários e administradores legítimos do que para um invasor em potencial. Por esse motivo, o método descrito aqui permite o tráfego ICMP de entrada, mesmo que não seja solicitado.
A terceira regra aceita todo o tráfego da interface de loopback. Qualquer tráfego recebido através da interface de loopback deve ter sido originado na máquina local, portanto (por um meio ou outro) ele deve ter sido solicitado pela máquina local.