iptables и правила хорошего тона

Если Вам не нужны оттюнингованные под быстродействие правила (роутер не на высоконагруженном канале), то попробуйте shorewall: http://shorewall.net/
Он создаст необходимые цепочки и правила, при этом он позволит абстрагироваться от конкретных правил.

Если же именно тюнинг важен, то

Получается, что мне придется дублировать правила.... Или может их следует отнести в другую таблицу?

Для избежания дубляжа однотипные правила выносите в свои собственные цепочки. Потом можно будет привязать свои цепочки правил к стандартным цепочкам.

И еще один вопрос, как следует/удобнее писать правила с привязкой к интерфейсам или оперируя только ip адресами?

Сильно зависит от ситуации в которой применяется iptables. Общих рекомендаций нет.

Т.е. фильтрация все так и только в filter
:)

Сейчас так и делаю создаю цепочки.
А задача у меня простая... есть домашний маршрутизатор с openwrt
Но конфигурируется все в ручную, т.к. есть два провайдера и балансировка нагрузки между ними и есть внутренние сервисы на которые их инета пробрасываются соединения.

> есть два провайдера и балансировка нагрузки между ними

http://www.shorewall.net/MultiISP.html

и есть внутренние сервисы на которые их инета пробрасываются соединения.

http://www.shorewall.net/FAQ.htm#PortForwarding

Всё-таки попробуйте. Не пожалеете :)

В догонку: шоревалл - это враппер над ip, iptables, ifconfig, route и tc
По сути. шоревалл - это набор bash-скриптов (perl-скриптов, если скачать shorewall-perl). Так что и на более-менее вменяемом маршрутизаторе (а тем более на OpenWRT) шоревалл должен заработать.

Как уже заметили выше, общие правила просто выносятся в отдельные цепочки.
В другую таблицу выносить очень не рекомендую. Бардак получится.

Вобще для вашего случая есть rp_filter, может это и не совсем красиво, но работает.

ИМХО, без разницы где DROP'ать пакеты, всё равно, изучая iptables нужно посмотреть все таблицы. Ещё есть таблица raw. Но надо отметить, что раньше можно было делать "-j DROP" в таблице nat, а теперь разработчики iptables это запретили.

И еще один вопрос, как следует/удобнее писать правила с привязкой к интерфейсам или оперируя только ip адресами?

Этот вопрос я не понял, как нужно, так и пишите, и не забывайте создавать цепочки.

>Вобще для вашего случая есть rp_filter, может это и не совсем красиво, но работает.

Если провайдер один — вполне красиво и правильно (имхо).

Если провайдеров >1, то в большинстве случаев rp_filter становится абсолютным злом и должен быть уничтожен. Потому что проверяет он только по таблице main и кладет прибор на policy-based routing.

Цепочки можно комбинировать:

iptables -t filter -N MYCHAIN
iptables -t filter -I INPUT -j MYCHAIN
iptables -t filter -I FORWARD -j MYCHAIN
iptables -t filter  -A MYCHAIN -i eth0 -s !192.168.10.0/24 -j DROP

PS: «-i eth0 ! -s 192.168.10.0/24» вроде как неправильно. Или «-i !eth0 -s 192.168.10.0/24», или «-i eth0 -s !192.168.10.0/24», если я правильно понял, что «192.168.10.0/24 должны быть только с eth0».