allowed:
for i in ${INTARFACES}; do
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -m limit -j LOG --log-prefix "Iptables: INVALID: Bad packet from ${i}:"
$IPTABLES -A allowed -p TCP -j DROP
done
tcp out:
for x in ${TCP_PORT_OUT}; do
$IPTABLES -A tcp_packets_out -p TCP --sport ${x} -j allowed
$IPTABLES -A tcp_packets_out -p TCP --dport ${x} -j allowed
done
Сыпет в лог типа такого:
May 18 xx:xx:xx localhost kernel: [16239.930292] Iptables: INVALID: Bad packetIN= OUT=br0 SRC=192.168.0.100 DST=xx.xxx.xx.xx LEN=120 TOS=0x00 PREC=0x00 TTL=64 ID=1283 DF PROTO=TCP SPT=21275 DPT=51413 WINDOW=7300 RES=0x00 ACK PSH FIN URGP=0
Если создать отдельную цепочку allowed_out и пустить туда весь исходящий трафик и сделать:
--state NEW,ESTABLISHED,RELATED