Хотелось бы «открывать» доступ только для (ответного) трафика (iptables)

> В каких цепочках это лучше сделать input, forward или output?
Читать здесь: http://www.opennet.ru/docs/RUS/iptables/index.html ,
раздел "Порядок прохождения таблиц и цепочек" и пункт "Состояния" в разделе "Механизм определения состояния"

P.S. "В каких цепочках" - смотря для кого траффик.

Уже читано... Я думаю мне нужно обезапасить внутреннюю сеть ч\з forward и сам брандмауэр ч\з input таблицы filter. Просто хотелось бы получить подтверждение , ну и если не жалко пример . Спасибо.

Все верно.
то что идет К серверу (шлюзу) - проходит input,
то что идет из/в локалку (через сервер) - проходит forward

в эти и вставляй.

не знаю что ты щас читаешь - может то же самое - вот iptables tutorial - очень хорошая дока:
http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html

Ну вот, там, где совершенно правильно указано spirit приведено масса примеров именно этих случаев.

> Уже читано...
А почему ж тогда возникают подобные вопросы ? :-) Reread !
Либо пишите подробнее что вам нужно:
"попытки установления соединений извне" - соединения с чем ??? С компом из локальной сети или самим router-ом ???

>Либо пишите подробнее что вам нужно: Ну если конкретно... Меня волнует соединение и с роутером и с локальной сетью защищаемой им. Хотелось бы увидить живые примеры . Чтобы мой брадмауэр позволял соединяться с инетом только при состоянии established и related ну и сам router максимально обезопасить относительно сервисов... Вроде все.Спасибо.

Смотри в сторону запрещения syn пакетов.