Firehol te será de gran ayuda. Un cortafuegos en 3 minutos Necesitado de tener un firewall flexible, aburrido de mantener el iptables a mano y con poco tiempo para evaluar alternativas decidí buscar algo rápido de configurar y terminé con FireHOL. Primero lo instalé: # apt-get install firehol Luego configuré el script de inicio para que realmente levante el firewall. Para ello edité el fichero /etc/default/firehol y cambié la línea START_FIREHOL=NO por START_FIREHOL=YES. Edité, según mis necesidades, /etc/firehol/firehol.conf y finalmente lo levanté: # /etc/init.d/firehol start En mi estación sólo necesito acceso externo al ssh, esta es la configuración: version 5 interface eth0 internet src not "$UNROUTABLE_IPS"         policy drop         server icmp accept         server ssh accept         client all accept En un servidor que es puerta de enlace de una red necesito  hacer NAT y habilitar más servicios, también servir DHCP en la intranet, esta es la configuración: version 5 interface eth0 inet src not "$UNROUTABLE_IPS"         policy drop         server icmp accept         server dns accept         server smtp accept         server ssh accept         server http accept         server https accept         server pop3 accept         server imap accept         client all accept interface eth1 lan src 192.168.46.0/24         policy accept router lan2inet inface eth1 outface eth0         masquerade         route all accept Y por último, en otro servidor necesito declarar servicios personalizados, esta es la configuración: version 5 interface eth0 internet src not "$UNROUTABLE_IPS"         policy drop         server icmp accept         server dns accept         server smtp accept         server ftp accept         server http accept src not 172.16.28.28         server rsync accept         server jabber accept         server jabberd accept         server custom jabber-alt tcp/5223 default accept         server custom zope tcp/9673 default accept src 172.16.4.20         server ssh accept src 172.16.4.20         server ssh accept src 172.16.4.21         server ssh accept src 172.16.4.22         client all accept fuente: http://debiancuba.org/?q=pistas/un_firewall_en_3_minutos