IF_EXT="eth1"
IF_INT="eth0"
IF_PPP="ppp0"
LOCAL_NET="192.168.9.0/24"
PORTS_HIGH="1024:65535" #nutzt DNS, http um Verbindungen aufzubauen
IPTABLES="/usr/sbin/iptables"
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
#Löschen aller Regeln
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -X
#bestehende Verbindungen beibehalten, sonst hat sich mein ssh verabschiedet

$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Lokale Prozesse auf dem Rechner akzeptieren
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
#Verbindungen vom und zum Router ins lokale Netz erlauben (incl. DNS, SSH ,also alle Ports)
$IPTABLES -A INPUT -i $IF_INT -s $LOCAL_NET -j ACCEPT
$IPTABLES -A OUTPUT -o $IF_INT -d $LOCAL_NET -j ACCEPT
#DNS Forwarden, rauszu incl. neuer Verbindungen, reinzu nur Verbindungen erlauben welche vom Router aufgebaut wurden
$IPTABLES -A FORWARD -i $IF_INT -m state --state NEW,ESTABLISHED,RELATED -p UDP --sport $PORTS_HIGH --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -i $IF_PPP -m state --state ESTABLISHED,RELATED -p UDP --sport 53 --dport $PORTS_HIGH -j ACCEPT
#http Verbindungen erlauben, analog DNS
$IPTABLES -A FORWARD -i $IF_INT -m state --state NEW,ESTABLISHED,RELATED -p TCP --sport $PORTS_HIGH --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -i $IF_PPP -m state --state ESTABLISHED,RELATED -p TCP --sport 80 --dport $PORTS_HIGH -j ACCEPT
#IP-Forwarding und DNAT einschalten, MTU
$IPTABLES -t nat -A POSTROUTING -o $IF_PPP -s $LOCAL_NET -j MASQUERADE
$IPTABLES -A FORWARD -o IF_PPP -p TCP --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr