# Eine eigene Tabelle für den User anlegen
iptables -N chain-$IP
# In der Forward-Table ist diese das Sprungziel für die Source-IP des Users:
iptables -I FORWARD -s $IP -j chain-$IP
#ESTABLISHED-Connections einfach ohne weiteres Matching durchlassen:
iptables -A chain-$IP -s $IP -m state --state RELATED,ESTABLISHED -j ACCEPT
# Nun folgen individuelle Regeln für den Benutzer, beispielsweise den Zugriff auf den Zielrechner $destHost, Port $destPort und das Protokoll $destProto:
iptables -A chain-$IP -p $destProto -s $IP -d $destHost --dport $destPort -j ACCEPT
# Oder dasselbe mit mehreren Ports mit --dports:
iptables -A chain-$IP -m multiport -p $destProto -s $IP -d $destHost --dports $destPort -j ACCEPT
# Vollzugriff auf einen Host:
iptables -A chain-$IP -s $IP -d $destHost -j ACCEPT
# Abschließend den ICMP-Traffic erlauben:
iptables -A chain-$IP -p icmp -s $IP -j ACCEPT
# und alles weitere verbieten:
iptables -A chain-$IP -s $IP -j DROP