*filter
:INPUT   DROP   [0:0]
:FORWARD DROP   [0:0]
:OUTPUT  ACCEPT [0:0]

# ループバックを許可
-A INPUT -i lo -j ACCEPT

# tcp-flagを持たない通信を破棄                                             
-A INPUT -p tcp --tcp-flags ALL NONE -j DROP                       

# tcp-flagが全て立っている通信を破棄（Xmasスキャンの通信を破棄）
-A INPUT -p tcp --tcp-flags ALL ALL -j DROP

# tcp-flagが通常の通信ではありえないものを破棄（Xmasスキャンの通信を破棄）
-A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP

# 新しい接続で、tcp-flagがsynではないものを破棄（syn-flood攻撃の通信を破棄）
-A INPUT -p tcp ! --syn -m state --state NEW -j DROP 
COMMIT
