Правила в студии
#drop all rules
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
#allawed SSH, HTTP, HTTPS
iptables -A FORWARD -i eth0 -p ANY -j ACCEPT
iptables -A FORWARD -d 10.1.1.2 -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -d 10.1.1.2 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -d 10.1.1.2 -p tcp --dport 443 -j ACCEPT
#для пропинговывания пропускаются некоторые ICMP пакеты
#
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 5 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
iptables -A FORWARD -d 10.1.1.2 -p icmp --icmp-type 0 -j ACCEPT
iptables -A FORWARD -d 10.1.1.2 -p icmp --icmp-type 3 -j ACCEPT
iptables -A FORWARD -d 10.1.1.2 -p icmp --icmp-type 5 -j ACCEPT
iptables -A FORWARD -d 10.1.1.2 -p icmp --icmp-type 11 -j ACCEPT
#для защиты от поддельных IP
iptables -t nat PREROUTING -i ppp0 -s 10.0.0.0/8 -j DROP
iptables -t nat PREROUTING -i ppp0 -s 127.16.0.0/12 -j DROP
iptables -t nat PREROUTING -i ppp0 -s 192.168.0.0/16 -j DROP
iptables -t nat PREROUTING -i ppp0 -s 127.0.0.0/8 -j DROP
iptables -t nat PREROUTING -i ppp0 -s 224.0.0.0/4 -j DROP
#close all other in/out packets
iptables -A INPUT -i ppp0 -j LOG
iptables -A FORWARD -i ppp0 -j LOG
#ниже строчки разрешают всем пакетам покидать сеть,
#но принимаются лишь те пакеты, которые поступают в рамках #соединений, #установленных узлами нашей сети
iptables -A FORWARD -i eth0 -p ANY -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Данные правила созданы не мной. Взал из книги. И подредактировал под свои нужды. (Выше оригинал)