Assumindo que não importa quantas interfaces você tem, você pode bloquear todos, exceto o tráfego de e para a sub-rede de endereços de rede LAN usando
iptables -A INPUT -s $NETWORK_ADDRESS/$MASK -j ACCEPT
iptables -A INPUT -s $ANOTHER_NETWORK_ADDRESS/$MASK -j ACCEPT
iptables -A INPUT -j DROP
iptables- A OUTPUT -d $NETWORK_ADDRESS/$MASK -j ACCEPT
iptables -A OUTPUT -d $ANOTHER_NETWORK_ADDRESS/$MASK -j ACCEPT
iptables -A OUTPUT -j DROP
Você pode encontrar os endereços de rede e a máscara de rede diretamente conectados às suas interfaces digitando:
ip r l | grep -v "default" | grep "proto kernel" | awk '{print }' Substitua $ NETWORK_ADDRESS / $ MASK dos comandos iptables pelos fornecidos pelo comando ip r l
Supondo que você possa ter um servidor DHCP na LAN, convém permitir esse tráfego específico para obter um endereço IP do servidor.
Para isso, é necessário adicionar mais regras a IPTABLES
iptables -I INPUT 1 -p udp --dport 67:68 --sport 67:68 -j ACCEPT Explicação
Você precisa aceitar o tráfego de entrada e saída do seu espaço de endereçamento de rede e depois disso você pode DROP todo o resto.
A regra para o Cliente DHCP será inserida acima de tudo mesmo que seja executada no final por causa do -I (insert) INPUT "1". Desta forma, você tem certeza de que irá obter um endereço IP do seu servidor DHCP.