Один из вариантов IPTables

создать скрипт wall.sh например в /home и добавляем его в атозагрузку. Под линейку думаю заточите сами.

#!/bin/sh#Firewall rulesINET="ppp0"INETIP="IP-addres"LAN="eth0"LANIP="ip-addres"UNPRIVPORTS="1024:65535"modprobe ip_tablesmodprobe ip_conntrackmodprobe ip_conntrack_ftpmodprobe ip_nat_ftp# FORWARDINGecho 1 > /proc/sys/net/ipv4/ip_forward#Setting kernel tcp parameters to reduct DoS effects#Reduce DoS'ing ability by reducing timeouts#echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout#echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time#echo 0 > /proc/sys/net/ipv4/tcp_window_scaling#echo 0 > /proc/sys/net/ipv4/tcp_sack#echo 1024 > /proc/sys/net/ipv4/tcp_max_syn_backlog#echo 2 > /proc/sys/net/ipv4/tcp_synack_retries#echo 1 > /proc/sys/net/ipv4/tcp_timestamps#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all#echo 2 > /proc/sys/net/ipv4/tcp_syn_retries#echo 1 > /proc/sys/net/ipv4/tcp_keepalive_probes#echo 10 > /proc/sys/net/ipv4/tcp_keepalive_intvl#echo 1 > /proc/sys/net/ipv4/tcp_low_latency#echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow#echo 30 > /proc/sys/net/ipv4/ipfrag_time#echo 2048 > /proc/sys/net/ipv4/tcp_max_orphans#echo 1 > /proc/sys/net/ipv4/tcp_tw_reuse#echo 1 > /proc/sys/net/ipv4/tcp_orphan_retries#echo 1 >/proc/sys/net/ipv4/ip_no_pmtu_disc#echo $ICMP_ECHOREPLY_RATE > /proc/sys/net/ipv4/icmp_echoreply_rateecho 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responsesecho 0 > /proc/sys/net/ipv4/conf/all/accept_redirectsecho 1 > /proc/sys/net/ipv4/conf/all/log_martians# Очищаем предыдущие записиiptables -F INPUTiptables -F FORWARDiptables -F OUTPUTiptables -t nat -F PREROUTINGiptables -t nat -F POSTROUTINGiptables -t mangle -F# Установка политик по умолчаниюiptables -P INPUT DROPiptables -P FORWARD ACCEPTiptables -P OUTPUT ACCEPT# Разрешения пинг,текущие и родственные подключения и в нашей сети траффикiptables -A INPUT -i ppp0 -j ACCEPTiptables -A INPUT -i eth0 -j ACCEPTiptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -p icmp -j ACCEPTiptables -A INPUT -i $INET -p TCP ! --syn -m state --state NEW -j ACCEPTiptables -A INPUT -m state --state INVALID -j DROPiptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT# NATiptables -A POSTROUTING -t nat -s 192.168.99.0/24 -o $INET -j MASQUERADE# Доверия до провайдера и между локальными интерфейсамиiptables -A INPUT -p ALL -s forummaxi.ru -i $INETIP -j ACCEPTiptables -A INPUT -p ALL -s forummaxi.ru -d 192.168.99.0/24 -j ACCEPTiptables -A INPUT -p ALL -s $INETIP -d 192.168.99.0/24 -j ACCEPT# Простая защита от DDoS-атаки (пропускаем только нужные нам соединения, правьте под себя)iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT# Открываем порты DNS#iptables -A INPUT -d $INETIP -p TCP --dport 53 -j ACCEPT#iptables -A INPUT -d $LANIP -p TCP --dport 53 -j ACCEPT#iptables -A INPUT -d $INETIP -p UDP --dport 53 -j ACCEPT#iptables -A INPUT -d $LANIP -p UDP --dport 53 -j ACCEPT# Открываем порты SSH#iptables -A INPUT -d $LANIP -p tcp --dport 22 -j ACCEPTiptables -A INPUT -d $INETIP -p tcp --dport 22 -j ACCEPT