Источник - http://aoz.com.ua/2012/01/27/linux-softrouter-iptables/

Что значит, с моей точки зрения правильный ACL на транзитном роутере

1. Не впускать в сеть пакеты с некорректными source ip
2. Не выпускать из сети мусор, в виде пакетов обманувших NAT, Multicast и блокировка доморощенных хакеров.

Идеология не нова. Взята из cisco network security tips. К сожалению оригинальной статьи не нашел.

К сожалению далеко не все сисадмины придерживаются моего мнения.

Приведена только транзитная часть (цепочка forward)

555.555.555.555/24 это так я обозвал адреса своей сети

-A FORWARD -i eth1.335 -j Enemy
-A FORWARD -i eth1.101 -j Enemy
-A FORWARD -i eth1.102 -j Enemy

-A Enemy -s 0.0.0.0 -j DROP
-A Enemy -s 127.0.0.0/8 -j DROP
-A Enemy -s 10.0.0.0/8 -j DROP
-A Enemy -s 172.16.0.0/12 -j DROP
-A Enemy -s 192.168.0.0/16 -j DROP
-A Enemy -s 224.0.0.0/4 -j DROP
-A Enemy -s 255.255.255.255 -j DROP
-A Enemy -s 555.555.555.555/24 -j DROP
-A Enemy -j RETURN

-A FORWARD -o eth1.335 -j Garbage
-A FORWARD -o eth1.101 -j Garbage
-A FORWARD -o eth1.102 -j Garbage

-A Garbage -s 555.555.555.555/24 -j ACCEPT
-A Garbage -j DROP