==== Regras iptables ====
Ates de aplicarmos regras as cadeias é sempre bom aplicar essa regra, ainda mais se estivermos conectado por ssh, caso contrario perdemos a conexão com o servidor.
<file bash>
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables --append INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT
</file>
<file bash>
# iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables --append OUTPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT
</file>
<file bash>
# iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables --append FORWARD --match state --state ESTABLISHED,RELATED --jump ACCEPT
</file>

Fechando as políticas básicas
<file bash>
# iptables --policy INPUT DROP
# iptables --policy OUTPUT DROP
# iptables --policy FORWARD DROP
</file>

Liberando o acesso à interface loopback:
<file bash>
# iptables --append INPUT --in-interface lo --destination 127.0.0.1 --jump ACCEPT
# iptables --append OUTPUT --out-interface lo --destination 127.0.0.1 --jump ACCEPT
</file>

Liberando a entrada de pacotes ICMP Echo Reply e a saída de pacotes ICMP Echo Request:
<file bash>
# iptables --append INPUT --protocol icmp --icmp-type 0 --jump ACCEPT
# iptables --append OUTPUT --protocol icmp --icmp-type 8 --jump ACCEPT
</file>

Regra para utilizar o programa mtr, que é um programa similar ao traceroute:
<file bash>
# iptables -A INPUT -p icmp --icmp-type 11 -j ACCEPT
</file>

Liberando a conexão por ssh
<file bash>
# iptables --append INPUT --match state --state NEW --match tcp --protocol tcp -s 192.0.2.0/24 --dport 1024:65535 --sport 22 --jump ACCEPT
# iptables --append OUTPUT --match state --state NEW --match tcp --protocol tcp --dport 22 -d 192.0.2.0/24 --sport 1024:65535 --jump ACCEPT
</file>
  * --sport, --source-port: Opção para definir porta origem.
  * --dport, --destination-port: Opção para definir porta destino.

Resolução de nomes
<file bash>
# iptables --append INPUT --match state --state NEW --match udp --protocol udp -s 192.0.2.100/32 --dport 1024:65535 --sport 53 --jump ACCEPT
# iptables --append OUTPUT --match state --state NEW --match udp --protocol udp --dport 53 -d 192.0.2.100/32 --sport 1024:65535 --jump ACCEPT
</file>

Compartilhando a internet
<file bash>
# iptables -A FORWARD -s 192.168.200.0/24 -d 0/0 -j ACCEPT
# iptables -A FORWARD -s 0/0 -d 192.168.200.0/24 -j ACCEPT
# iptables --table nat --append POSTROUTING --source 192.168.200.0/24 --out-interface eth1 --jump MASQUERADE
</file>
Temo que lembra de permitindo o encaminhamento de pacotes no kernel
<file bash>
# echo 1 > /proc/sys/net/ipv4/ip_forward
</file>
ou alterando o arquivo sysctl.conf para
<code bash>
# vim /etc/sysctl.conf
[...]
net.ipv4.ip_forward = 1
[...]
</code>
  * eth1: interface que está conectada a internet

Para acompanhar as atividade do nat por meio do arquivo de kernel:
<file bash>
# tail -f /proc/net/ip_conntrack
</file>

Redirecionamento de porta
<file bash>
# iptables -t nat -A PREROUTING -p tcp -s 0/0 -d 200.100.50.99 --dport 22 -j DNAT --to 192.168.200.2:52000
</file>
Resumindo a regra, todos os pacotes tcp que vierem de qualquer origem com destino o IP válido do nosso Firewall, na porta 22, vai ser redirecionado para o host interno 192.168.200.2 na porta 22.

Listando as regras
<file bash>
# iptables -nvL --line-number
# iptables --list --line-number --verbose
# iptables -t nat -nL
</file>