Нюансы iptables : Linux

Наверняка многие слышали, что в линуксе есть стенка (firewall). У кого-то Линукс вызывает благовейный ужас в то время как на деле он гораздо удобнее Windows. Чтобы приоткрыть завесу тайны, предлагаю поделиться своими конфигурациями стенок, может, у кого-то есть вопросы...
Например, с базового, если хотите посмотреть, что у вас сейчас разрешено или запрещено в стенке, надо выполнить команду:
если нужно смотреть счетчики в динамике, то прибавить спереди watch, чтобы команда выполнялась циклично:
достаточно прикольный вывод, интересно наблюдать за бегающими пакетиками.
Далее, например, нужно нам забанить IP 1.2.3.4
Для начала определяем, баним ли мы его совсем, баним ли подключение к себе, или баним транзитный траффик (т.е. например, если мы сидим на шлюзе). Если нужно забанить совсем и все, то я пользуюсь не очень рекомендуемой цепочкой:
т.е. все пакеты от 1.2.3.4 будут тупо умирать при входе после выполнения приведенной команды.
Если нам нужно забанить пакеты к компьютеру, за которым мы сидим, то это еще проще и на этот раз рекомендуемо:
как видите, простая, легко запоминающаяся и железно работающая команда. В данном случае работает цепочка INPUT. Если заменить ее на FORWARD, то будет ограничиваться траффик, проходящий через машину на другие (не через прокси, а NAT, например).
-s в строках выше обозначает исходный адрес, -j - операция с пакетами, она может быть, например, DROP, может быть REJECT. Вторая команда, в отличие от первой, будет сообщать на удаленную сторону, что пакет отброшен, а первая просто выкидывать пакет. Соответственно, есть еще параметр -d, определяющий конечную точку следования пакета, а еще есть возможность поставить ! перед условием, инверсию, т.е. будет работать на все адреса, кроме 1.2.3.4
Это базовые возможности фильтрации, есть возможность фильтровать по частоте подключения, интерфейсам и прочим параметрам, более подробно можно прочитать тут: [ Iptables ]
Но, может, кому-то что-то не понятно?