Данные правила разместить в файле /etc/network/if-up.d/iptables-rules
#!/sbin/iptables-restore
#table filter
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#allow input establish conect
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# icmp
-A INPUT -p icmp -j ACCEPT
# loopback allow
-A INPUT -i lo -j ACCEPT
# SSH
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 622 -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 1983 -j ACCEPT
#-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -j ACCEPT
#zabbix
-A INPUT -p tcp -s 91.200.126.244 --dport 10050 -j ACCEPT
-A INPUT -p tcp -s 176.37.35.31 --dport 10050 -j ACCEPT
-A INPUT -p tcp -s 82.193.108.118 --dport 10050 -j ACCEPT
#DENY ip any to any
-A INPUT -s 193.106.30.90 -j REJECT
-A INPUT -s 164.52.24.140 -j REJECT
-A INPUT -s 195.22.127.231 -j REJECT
-A INPUT -s 35.193.9.56 -j REJECT
-A OUTPUT -d 193.106.30.90 -j REJECT
-A OUTPUT -d 193.201.224.233 -j REJECT
# INPUT http, https
-A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 80,443 -j ACCEPT
#-A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dport 443 -j ACCEPT
# Maximum 10 connection from 1 ip adress
#-A INPUT -p tcp --dport 80 -m iplimit --iplimit-above 10 -j REJECT
# Block on the stage sync
#-I INPUT -p tcp --syn --dport 80 -j DROP -m iplimit --iplimit-above 10
# mail.pop3, mail.pop3s
-A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 110,995 -j ACCEPT
# mail.imap, mail.imaps
-A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 143,993 -j ACCEPT
# mail.smtp, mail.smtps
-A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 25,465 -j ACCEPT
# network.squid.proxy
#-A INPUT -p udp -m conntrack --ctstate NEW -m udp --dport 3128 -j ACCEPT
# network.dns
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m conntrack --ctstate NEW -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 953 -j ACCEPT
# network.ntp
-A INPUT -p udp -m conntrack --ctstate NEW -m udp --dport 123 -j ACCEPT
# deny
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
Данные правила размещаюстя в файле /etc/network/if-up.d/ip6tables-rules
#!/sbin/ip6tables-restore
# Таблица filter и её цепочки
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# Разрешаем связанные и установленые соединения
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# Разрешаем служебный icmp-трафик
-A INPUT -p ipv6-icmp -j ACCEPT
# Разрешаем доверенный трафик на интерфейс loopback
-A INPUT -i lo -j ACCEPT
# Сюда можно вставлять дополнительные правила для цепочки INPUT
# Запрещаем всё остальное для INPUT
-A INPUT -j REJECT --reject-with icmp6-adm-prohibited
# Порядок и смысл правил для цепочек FORWARD и OUTPUT аналогичен INPUT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p ipv6-icmp -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp6-adm-prohibited
# Фильтровать цепочку OUTPUT настоятельно не рекомендуется
#-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
#-A OUTPUT -p ipv6-icmp -j ACCEPT
#-A OUTPUT -o lo -j ACCEPT
#-A OUTPUT -j REJECT --reject-with icmp6-adm-prohibited
COMMIT
ls -lh /etc/network/if-up.d/iptables-rules
-rwxr-xr-x 1 root root 2.3K Sep 20 00:22 /etc/network/if-up.d/iptables-rules
Для перечитывания правил достаточно запустить
/etc/network/if-up.d/iptables-rules
iptables -nvL