Lusticky

pacman -S iptables

sudoedit /etc/iptables/iptables.rules

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p icmp -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -i lo -j ACCEPT 

#-A INPUT -p tcp -j REJECT --reject-with tcp-reset 
#-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable 
#-A INPUT -j REJECT --reject-with icmp-proto-unreachable

# SSH omezeni na 4 pokusy behem 60 sekund
-A INPUT -p tcp -i eth0 --dport ssh -m state --state NEW -m recent --set
-A INPUT -p tcp -i eth0 --dport ssh -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
-A INPUT -p tcp -i eth0 --dport ssh -m state --state NEW -j ACCEPT
# www 80
-A INPUT -p tcp -i eth0 --dport www -m state --state NEW -j ACCEPT
# https 443
-A INPUT -p tcp -i eth0 --dport https -m state --state NEW -j ACCEPT
# ftp 21
#-A INPUT -p tcp -i eth0 --dport ftp -m state --state NEW -j ACCEPT
# Jabber s2s
-A INPUT -p tcp -i eth0 --dport 5280 -m state --state NEW -j ACCEPT
# Jabber 5222
-A INPUT -p tcp -i eth0 --dport xmpp-client -m state --state NEW -j ACCEPT
# Jabber 5269
-A INPUT -p tcp -i eth0 --dport xmpp-server -m state --state NEW -j ACCEPT
# CS 1.6
-A INPUT -p udp -i eth0 --dport 27015 -m state --state NEW -j ACCEPT
#-A INPUT -p tcp -i eth0 --dport 26900 -m state --state NEW -j ACCEPT

Pokud chcete možnost nefiltrovat navázáné FTP spojení i přes změnu portu (pasivní FTP spojení), přidejte do /etc/conf.d/iptables modul ip_conntrack_ftp:

...

IPTABLES_MODULES="ip_conntrack_ftp"