# eth1 - physikalisches WAN-Interface (öffentliche IP-Adresse)
# ipsec0 - virtuelles Interface gebunden an eth1
# eth0 - physikalisches LAN-Interface (private IP-Adresse)

# Policies standardmäßig auf DROP setzen
iptables -P INPUT   DROP
iptables -P OUTPUT  DROP
iptables -P FORWARD DROP
iptables -t mangle -P POSTROUTING DROP
[...]
### ESP
# Eintreffende ESP-Pakete auf eth1 in PREROUTING markieren
iptables -t mangle -A PREROUTING -i eth1 -p esp -j MARK --set-mark 1

# Eintreffende ESP-Pakete auf eth1 in INPUT erlauben
iptables -t mangle -A INPUT -i eth1 -p esp -j ACCEPT

# Ausgehende ESP-Pakete auf eth1 erlauben
iptables -t mangle -A POSTROUTING -o eth1 -p esp -j ACCEPT

### IKE und NAT-Traversal (identisch zu Listing 1, Zeile 40-45)
[...]
### via IPsec <--> Gateway: PING
# Eingehenden Echo-Request mit Markierung erlauben
iptables -A INPUT -p icmp -i eth1 --icmp-type 8 -m mark --mark 1 -s 0.0.0.0/0 -j ACCEPT
# Ausgehenden Echo-Reply erlauben
iptables -A OUPTUT -o eth1 -p icmp --icmp-type 0 -d 0.0.0.0/0 -j ACCEPT
[...]
### via IPsec <--> LAN: POP3
iptables -A FORWARD -i eth1 -o eth0 -m mark --mark 1 -p tcp -s 0.0.0.0/0 --sport ${UNPRIV_PORTS} -d ${IP_LAN_POP3} -dport 110 -m state --state NEW -j ACCEPT
# Aufgebaute Verbindungen und damit zusammenhängenden
# Verkehr in FORWARD-Chain erlauben
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT