#!/bin/sh

PRIVATE_NETWORK="10.0.5.0/24"
LOCAL_NETWORKS="
10.0.1.0/24
10.0.2.0/24
10.0.3.0/24
10.0.4.0/24
"

IPT="echo"

# В локальные сетки не дальше роутера
for lnet in $LOCAL_NETWORKS; do
    $IPT -A FORWARD -s $PRIVATE_NETWORK -d $lnet -j DROP
    $IPT -A FORWARD -d $PRIVATE_NETWORK -s $lnet -j DROP
done

# В остальные можно всё
$IPT -A FORWARD -s $PRIVATE_NETWORK -j ACCEPT
$IPT -A FORWARD -d $PRIVATE_NETWORK -j ACCEPT