// iptables-chains leeren
iptables -F
// chain-policies (--> default-wert) auf DROP setzen (trifft keine bedingung zu, wird das packet verworfen)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P
FORWARD DROP
// den Traffic auf dem TCP-Port 80 (HTTP) erlauben
// vom Internet ins lokale Netz
iptables -A
FORWARD -p
tcp -i <wan-interfaces> -o <lan-interfaces> --sport 80 -d 172.16.0.0/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
// vom lokalen Netz ins Internet
iptables -A
FORWARD -p
tcp -i <lan-interfaces> -o <wan-interfaces> --dport 80 -s 172.16.0.0/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
// den Traffic auf dem TCP-Port 443 (HTTPS) erlauben
// vom Internet ins lokale Netz
iptables -A
FORWARD -p
tcp -i <wan-interfaces> -o <lan-interfaces> --sport 443 -d 172.16.0.0/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
// vom lokalen Netz ins Internet
iptables -A
FORWARD -p
tcp -i <lan-interfaces> -o <wan-interfaces> --dport 443 -s 172.16.0.0/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
// den Traffic auf dem UDP-Port 53 (DNS) erlauben
// vom Internet ins lokale Netz
iptables -A
FORWARD -p udp -i <wan-interfaces> -o <lan-interfaces> --sport 53 -d 172.16.0.0/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
// vom lokalen Netz ins Internet
iptables -A
FORWARD -p udp -i <lan-interfaces> -o <wan-interfaces> --dport 53 -s 172.16.0.0/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT