Файрвол не пропускает бровсер в инет!!!

а если так: iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT iptables -A OUTPUT -j ACCEPT

И тогда будут и все нововходящие соединиения drop-аться, а исходящие замечательно работать

Или так не подходит?

iptables -P FORWARD DROP
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 0.0.0.0/0 -j SNAT --to-source InetIP

10.0.0.0/24 значит, все адреса это подсети (10.0.0.0-10.0.0.255) -d 0.0.0.0/0 все адреса, InetIP -- IP адрес интерфейса, который смотрит в иНет. и последнее, влючим иНет пользователю, например 10.0.0.4
iptables -A FORWARD -s 10.0.0.4 -j ACCEPT
iptables -A FORWARD -d 10.0.0.4 -j ACCEPT

и не забудь echo "1" > /proc/sys/net/ipv4/ip_forward

2kuz Насколько я понимаю пакет со статусом NEW открывает соединение. Так если его блокировать, то соединение вообще не установистя что-ли? Мне надо просто чтобы всё блокировалось кроме бровсера.

Ну ептыть, а порты выхода на DNS кто будет открывать? Дядя? И то, что тебе написали насчет ESTABLISHED, RELATED восприми.

>Насколько я понимаю пакет со статусом NEW открывает соединение. Так если его блокировать, то соединение вообще не установистя что-ли?

Правильно. А оно тебе надо? Ты что, предоставляешь со своей машины какие-то сетевые сервисы что-ли? Тебе браузить инет надо? Так слушай дядю kuz'a и дядю Jackill'а - они дело говорят. А ещё лучше iptables tutorial почитай - он для того и написан, чтоб его читали, а не задавали на ЛОРе тупые вопросы по настройке iptables...