皆さんご存知かもしれませんが、
iptables の設定をするときのテクニックを一つ

iptables はパケットフィルタリングを提供するソフトなのですが、
うっかり間違った設定をしてsshのパケットまで遮断してしまうと、
間違った設定のまま、それを直すこともできないという
恐ろしいことになります

そこで、すべてのパケットを許可するスクリプトを作成しておいて、
一定時間ごとにcronで実行させます。

vi /usr/local/firewall/debug/accept.sh

#/bin/sh

/sbin/iptables -F
/sbin/iptables -F -t nat

/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT

/sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

これをcronで実行させます

01 * * * * root /usr/local/firewall/debug/accept.sh
11 * * * * root /usr/local/firewall/debug/accept.sh
21 * * * * root /usr/local/firewall/debug/accept.sh
31 * * * * root /usr/local/firewall/debug/accept.sh
41 * * * * root /usr/local/firewall/debug/accept.sh
51 * * * * root /usr/local/firewall/debug/accept.sh

として、うっかりした場合も最低10分でフィルタがリセットされるように設定しておくといいです