Решил написать правила для iptables.
Взял за основу пример rc.UTIN.firewall из "iptables tutorial".
После перезапуска iptables не смог зайти на сервер через ssh.

Нужно написать правила для iptables.
Пользователям из локальной сети разрешается работать только с сервером: 
прозрачный proxy (squid:3128), postfix, ftp, pop3/imap.
Нельзя обращаться к внешним ftp,smtp,pop3,imap.

Дополнительно разрешается NAT:
  - 1 клиент ntpdate,
  - 2 клиента несколько портов к определенному ip,
  - 1 клиент полный доступ к определенному ip.

На сервере 3 сетевых:
eth2 - в интернет, eth0 и eth1 соединение двух видов кабеля (роутер).