... святое для каждого правоверного Линупсоида место - iptables. Вот не поверите, лет уже... ну, пять-то точно хочу, да все никак собраться не могу.
Вот ей-ктулху, треш-угар-и-содоминия, а не 'user-oriented-firewall'. Не, к netfilter'овской части (Той как раз что НЕ user-oriented) претензий нет - работает хорошо, быстро, настраивается под что угодно, но, оладушек - КАК?! На дворе, на минуточку, 2013 год, а ЭТО все еще выглядит как ядерный трындец эпохи начала 90х.
Начнем с того, что целых три уровня вложенности (Правило-цепочка-таблица) для абсолютного большинства применений как бы это сказать... перебор. Понятно, что ИНОГДА подобная гибкость что назвается "в кассу", но ёлки-зеленые-брызги-шампанского! Закону Парето уже хорошо так за 100 лет, а до некоторых все еще не дошло.
Опять же, в качестве критерия для группировки выбор сделан... своеобразный. Вот смотришь на packet-flow в большинстве сценариев и диву даешься:
mangle-prerouting
nat-prerouting
mangle-forward
filter-forward
mangle-postrouting
nat-postrouting
А вот если трафик у нас не транзитный, а, скажем, исходящий, то:
mangle-output
nat-output
filter-output
mangle-postrouting
nat-postrouting
А вот если трафик входящий... А вот если еще встроенные таблицы raw, rawpost и security упомянуть... В общем "Запомните это дети, патамучта понять эта нэвозможна!"(Ц)
Осталось добавить, что состав цепочек в таблицах - РАЗНЫЙ (Т.е. не все таблицы содержат все цепочки), цепочки с одинаковым именем находящиеся в разных таблицах - РАЗНЫЕ, разные таблицы обладают разными наборами допустимых действий для правил и картина трындеца становится еще более полной-и-гармоничной. 101 способ выстрелить себе в ногу, ага.
Впрочем, так просто себе в ногу не выстрелишь - сначала придется разобраться в нечеловекообразном ТУЕ утилиты iptables. В то время, как все прогрессивное человечество (А.К.А. цискари с БСД'шниками) додумались до идеи, что "набор правил firewall'а это такая _программа_ на специфическом языке программирования", линупсоиды все еще свято уверены, что firewall - это такая шайтан-машина с кучей рубильничков, циферблатов и переключателей. Однобуквенные case-sensitive switch'и немерянным числом в 21м веке, божечки-ж-вы мои!!!! Смесь параметров с синтаксисом вызова '--' и '-' в одной команде - от-вра-ти-тель-но. Ужасно. Ugly by design, в общем.
Обвязка у всего этого чюююда - соответствующая. Посмотрите на вывод iptables-save, например. Ну велосипедяйство же пионерское, гди-б-же! Вместо стандартного ini-файла в той или иной редакции (Да, если кто не - классические ini'шники вложенные секции поддерживают!) свое...образное нечто. * в начале это вот что? Сущность iptables? Так нет там такого. Ах, это мы селедку завернули имя таблицы решили так отделить? Ну-да, ну-да, свежо, по заграничному - ни у кого так нет. А вот что это у нас с ':' начинается? Ах, цепочка? А в квадратных скобках чего, ась? Ну ин-ту-и-тив-но же понятно, что число пакетов, да? Любому, блин, линупсоиду с дохренадцатилетним стажем, а остальным rtfm в гугль. Аффигеть как юзабильно, ага. Прям даже стесняюсь спросить, каким чудом они от того, чтобы комментарий # на что-нибудь... эдакое заменить удержались.

На этом фоне убунтуйский ufw очень даже приличным продуктом выглядит - с каиновой печатью убунтуйскости, правда. Написать нормальный tui-frontend к netfilter у г-д пупок не то, чтобы "развязался", а и "не завязался" еще, реализовать хоть сколько-нибудь функциональный high-level набор средств они все-еще "ниасилили" (Work-in-progress, ждите пока debian'овцы подключатся), а разбираться в автогенеренном треше... та идите вы... automake-файлы и прочие sendmail.cf править!!!
В общем, бейте меня, режьте, но пригодность iptables в их текущем виде к работе среднеподготовленного пользователя находится на уровне помянутого sendmail`а - Очень Опытный Администратор конечно сделает все что у годно и даже больше, а вот человек, который занимается настройкой "от случая-к-случаю", раз в полгода просто обречен наступать на грабли в мало-мальски нетривиальных случаях, ибо.