$ nc -zv localhost 80   Проверяет, открыт ли порт 80. Номер порта может быть любым.
$ curl ipinfo.io            географическое расположение заданного IP-адреса.

Вывод текущих правил
Посмотреть правила для таблицы filter, т.е. команда покажет основные правила iptables:

iptables -L -n
Для конкретной таблицы, например nat и mangle:

iptables -t nat -L -n
iptables -t mangle -L -n

Перед применением правил необходимо очистить все существующие цепочки, таблицы и политики.

Минимальный набор правил iptables для десктопа
Задача: запретить все входящие подключения. Исходящие не ограничены.

# Правила по умолчанию
iptable -P INPUT DROP
iptable -P FORWARD DROP
iptable -P OUTPUT ACCEPT
# Разрешить входящие соединения с локалхоста
iptables -A INPUT -i lo -j ACCEPT
# Разрешить уже установленные входящие соединения
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Минимальный набор правил iptables для шлюза
Задача:
1. Раздать интернет в локальную сеть при помощи NAT’а.
2. Разрешить обращение машин из локальной сети к внешним HTTP, HTTPS и DNS серверам
3. Пробросить порт на веб сервер, находящийся в этой локальной сети.

### Переменные
# Интерфейс, смотрящий в интернет
INET_IF="eth0"
# Белый IP адрес, принадлежащий $INET_IF
INET_IP="x.x.x.x"
# TCP порты, по которым разрешено ходить в интернет машинам из локальной сети
FORWARD_TCP_PORTS="53,80,443"
# UDP порты, по которым разрешено ходить в интернет машинам из локальной сети
FORWARD_UDP_PORTS="53"
# Локальная сеть
LOCAL_NET="192.168.0.0/24"
# IP адрес локального веб сервера
WEB_SERVER="192.168.0.10"
# Путь до sysctl
SYSCTL="/sbin/sysctl -w"
# Включить в ядре форвард IPv4 пакетов
if [ "$SYSCTL" = "" ]
then
    echo "1" > /proc/sys/net/ipv4/ip_forward
else
    $SYSCTL net.ipv4.ip_forward="1"
fi

### Правила по умолчанию
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

### INPUT
# Разрешить входящие соединения с локалхоста
iptables -A INPUT -i lo -j ACCEPT
# Разрешить принимать уже установленные соединения
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Разрешить SSH
iptables -A INPUT -p TCP --dport 22 -j ACCEPT

### FORWARD
# Разрешить уже установленные пересылаемые соединения
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Разрешить машинам локальной сети ходить в интернет по указанным TCP портам
iptables -A FORWARD -p TCP -s $LOCAL_NET -m multiport --dport $FORWARD_TCP_PORTS -j ACCEPT
iptables -A FORWARD -p TCP -d $LOCAL_NET -m multiport --dport $FORWARD_TCP_PORTS -j ACCEPT
# Разрешить машинам локальной сети ходить в интернет по указанным UDP портам
iptables -A FORWARD -p UDP -s $LOCAL_NET -m multiport --dport $FORWARD_UDP_PORTS -j ACCEPT
iptables -A FORWARD -p UDP -d $LOCAL_NET -m multiport --dport $FORWARD_UDP_PORTS -j ACCEPT

### NAT
# Включить NAT для локальной подсети
iptables -t nat -A POSTROUTING -s $LOCAL_NET -o $INET_IF -j SNAT --to-source $INET_IP
# Пробросить порт на локальный веб сервер
iptables -t nat -A PREROUTING -p TCP -d $INET_IP --dport 80 -j DNAT --to-destination $WEB_SERVER:80

Надо отметить, что если пробрасывается порт, отличный от списка $FORWARD_TCP_PORTS, то необходимо его туда добавить, т.к. он будет дропаться политикой по умолчанию.
В итоге, скрипт iptables для шлюза будет выглядеть следующим образом. Отличается от предыдущих правил.

#!/bin/sh
# Очистить все правила
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

### Переменные
# Интерфейс, смотрящий в интернет
INET_IF="eth0"
# Белый IP адрес, принадлежащий $INET_IF
INET_IP="x.x.x.x"
# Локальная сеть
LOCAL_NET="192.168.0.0/24"
# IP адрес локального веб сервера
WEB_SERVER="192.168.0.10"

# Включить в ядре форвард IPv4 пакетов
# Путь до sysctl
SYSCTL="/sbin/sysctl -w"
if [ "$SYSCTL" = "" ]
then
    echo "1" > /proc/sys/net/ipv4/ip_forward
else
    $SYSCTL net.ipv4.ip_forward="1"
fi

### Правила по умолчанию
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

### INPUT
# Разрешить входящие соединения с локалхоста
iptables -A INPUT -i lo -j ACCEPT
# Разрешить принимать уже установленные соединения
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Разрешить SSH только из локальной сети
iptables -A INPUT -p TCP -s $LOCAL_NET --dport 22 -j ACCEPT
# Разрешить запросы к кэширующему DNS серверу только из локальной сети
iptables -A INPUT -p TCP -s $LOCAL_NET --dport 53 -j ACCEPT
iptables -A INPUT -p UDP -s $LOCAL_NET --dport 53 -j ACCEPT

### FORWARD
# Разрешить уже установленные пересылаемые соединения
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# TCP порты, по которым разрешено ходить в интернет машинам из локальной сети
FORWARD_TCP_PORTS="80,443"
# Разрешить машинам локальной сети ходить в интернет по указанным TCP портам
iptables -A FORWARD -p TCP -s $LOCAL_NET -m multiport --dport $FORWARD_TCP_PORTS -j ACCEPT
iptables -A FORWARD -p TCP -d $LOCAL_NET -m multiport --dport $FORWARD_TCP_PORTS -j ACCEPT

### NAT
# Включить NAT для локальной подсети
iptables -t nat -A POSTROUTING -s $LOCAL_NET -o $INET_IF -j SNAT --to-source $INET_IP
# Пробросить порт на локальный веб сервер на нестандартный порт
iptables -t nat -A PREROUTING -p TCP -d $INET_IP --dport 80 -j DNAT --to-destination $WEB_SERVER:8090

Не работает DNS:
В разделе «Минимальный набор правил iptables для шлюза» указано, что для работы DNS надо надо разрешить форвардить 53 порт по tcp и udp.

Заработало после добавления
iptables -A INPUT -p udp —dport 53 -j ACCEPT

взято там https://notessysadmin.com/

Как закрыть порт Iptables
как скрыть с возможностью подключения
Закрыть порты iptables, кроме разрешенных
Как скрыть порт iptables?
Выводы

КАК ЗАКРЫТЬ ПОРТ IPTABLES
В этой статье я не стану подробно рассматривать все возможности Iptables, виды цепочек и как работает эта служба.
Все это мы рассмотрели в статье настройка Iptables для начинающих. Вместо этого, перейдем ближе к делу.
Чтобы заблокировать порт нам сначала нужно понять какие порты открыты в Linux и за что они отвечают.
Чтобы посмотреть какие порты слушаются локально, можно использовать утилиту netstat:

sudo netstat -ntulp

Для анализа портов, доступных извне используется программа nmap:

nmap localhost

Как видите, извне у нас, кроме стандартных портов веб-сервера, доступны mysql, ftp, dns и другие сервисы.
Некоторые из них не должны быть доступны публично. Это не критично, но и нежелательно.
Мы можем очень просто закрыть такие порты с помощью iptables. Общий синтаксис команды для блокировки порта будет выглядеть вот так:

$ iptables -A INPUT -p tcp --dport номер_порта -j DROP

Например, если мы хотим заблокировать порт iptables mysql, то необходимо выполнить:

sudo iptables -A INPUT -p tcp --dport 3306 -j DROP

Можно закрыть порт для определенного интерфейса, например, eth1:

sudo iptables -A INPUT -i eth1 -p tcp --dport 3306 -j DROP

Или даже для ip и целой подсети. Например, закрыть все подключения к порту 22 SSH кроме IP адреса 1.2.3.4:

sudo iptables -A INPUT -i eth1 -p tcp -s !1.2.3.4 --dport 22 -j DROP

Здесь знак восклицания означает инверсию, то есть применить ко всем кроме этого.
Можно убрать этот знак и указать только IP, к которым нужно применить запрет.
Мы рассмотрели как закрыть порт iptables в цепочке INPUT, которая отвечает за входящие соединения, это более применимо к серверам.
Но что, если нужно закрыть подключение к удаленному порту из этого компьютера или нашей сети? Для этого существует цепочка OUTPUT.

Например, заблокируем попытки отправки почты подключением к любой машине по порту 25:

sudo iptables -A OUTPUT -p tcp --dport 25 -j DROP

Также, как и раньше, вы можете указать исходящий сетевой интерфейс, только теперь он указывается опцией -o:

sudo iptables -A OUTPUT -o eth1 -p tcp --dport 25 -j DROP

После того как вы завершите с настройкой портов нужно сохранить все созданные правила, чтобы они остались активными даже после перезагрузки. Для этого выполните:

sudo iptables-save

Чтобы посмотреть текущие правила для каждой из цепочек выполните:

sudo iptables -L -n -v

Такая команда покажет все правила, а если вы хотите только информацию о заблокированных портах, выполните:

sudo iptables -L -n -v | grep -i DROP

Очистить все правила в случае возникновения проблем можно командой:

sudo iptables -F

ЗАКРЫТЬ ПОРТЫ IPTABLES, КРОМЕ РАЗРЕШЕННЫХ
По умолчанию политика для цепочек INPUT и OUTPUT - разрешать все подключения,
а уже с помощью правил мы указываем какие подключения стоит запретить.
Но если вы хотите закрыть все порты кроме разрешенных iptables. То нужно поступить по-другому.
Мы поменяем политику по умолчанию, так чтобы она запрещала все и разрешим только доступ к нужным портам.

Например, меняем политику для цепочки INPUT:

sudo iptables -P INPUT DROP

Затем разрешаем все входящие соединения от локального интерфейса:

sudo iptables -A INPUT -i lo -j ACCEPT

Затем разрешаем доступ к портам 80 и 22:

sudo iptables -A INPUT -i eth0 -p tcp --dport 80 --match state --state NEW -j ACCEPT
$ sudo iptables -A INPUT -i eth0 -p tcp --dport 80 --match state --state NEW -j ACCEPT

КАК СКРЫТЬ ПОРТ IPTABLES?
Закрыть порт, это очень хорошо, но что если он нужен нам открытым и желательно, чтобы для других этот же порт был недоступен.
Существует такая технология, как Port Knocking, которая позволяет открывать нужный порт только для определенного
ip адреса и только после обращения его к нужному порту.
Например, нам нужно защитить SSH от перебора паролей и несанкционированного доступа.
Для этого все пакеты, которые будут приходить на порт 22, 111 и 112 мы будем перенаправлять в цепочку SSH.

Как вы уже догадались, порт 22 нам непосредственно нужен, на порты 111 и 112 будут включать его и отключать соответственно.
Когда пользователь обратится к порту 111 мы укажем системе, что нужно присвоить всем его пакетам имя ssh, при обращении к порту 112 уберем этот флаг.
А если пользователь решит зайти на 22 порт, то проверим присвоено ли этому пакету имя SSH, если да, то пропустим, в противном случае - отбросим.

Сначала создаем цепочку SSH:

sudo iptables -N SSH

Перенаправляем пакеты:

sudo iptables -A INPUT -p tcp --dport 22 -j SSH
$ sudo iptables -A INPUT -p tcp --dport 111 -j SSH
$ sudo iptables -A INPUT -p tcp --dport 112 -j SSH

При обращении к порту 111 присваиваем IP адресу имя, сам пакет дальше не пускаем:

sudo iptables -A SSH -p tcp -m state --state NEW -m tcp --dport 111 -m recent --set --name SSH --rsource -j DROP

При обращении к 112 убираем имя у IP:

sudo iptables -A SSH -p tcp -m state --state NEW -m tcp --dport 112 -m recent --remove --name SSH --rsource -j DROP

И нам осталось только проверить имеет ли наш пакет, который пытается обратиться к 22 порту имя SSH и если да, то мы его одобряем:

sudo iptables -A SSH -p tcp -m state --state NEW -m tcp --dport 22 -m recent --rcheck --name SSH --rsource -j ACCEPT

Вот и все. Теперь для того чтобы открыть наш SSH порт будет достаточно попытаться подключиться к порту 111 с помощью telnet.
Утилита сообщит, что произошла ошибка во время подключения, поскольку мы отбросили пакет:

telnet ip_адрес 111

Но зато теперь вы можете получить доступ к сервису SSH на порту 22. Чтобы снова закрыть порт выполните:

telnet ip_адрес 112

Даже при открытии, этот порт доступен только вашему ip адресу и больше никому другому. Но нужно заметить, что это не панацея.
Кто-либо может случайно запросить порт, который предназначен для активации, и таким образом, открыть себе доступ к службе SSH. Так что надежные пароли и ключи шифрования это не отменяет.