...В яндексе легко находтся перево iptables tutorial.... Дальнешее верно

...В яндексе легко находтся перево iptables tutorial....
Дальнешее верно для linux 2.6 - вводить надо с локала или модифицировать правила на тему разрешения SSH...

sysctl -w net.ipv4.conf.all.forwarding=1 #Разрешить маршрутизацию все интрефейсов
iptables -N ALLOWED #создадим новую цепочку.
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT #Принимать новые SSH соединения
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT #Принимать установленные соединения
iptables -P INPUT DROP #Все осталдьное - давить
iptables -A OUTPUT -p tcp --sport 22 -m state ESTABLISHED,RELATED -j ACCEPT #Пропускать уже установленые соединения.
iptables -P OUTPUT DROP
iptables  -P FORWARD DROP
iptables -t nat -A POSTROUTING -s 192.168.0.0/22 -o eth3 -j MASQUERADE #Собсвтенно, сам маскарадинг - предполагается, что в интернет смотрит интерфейс eth3


iptables -A FORWARD -p icmp -d ! 192.168.0.0/22 -j ACCEPT #пропускать все icmp идущие из/в интернет.
iptables -A FORWARD -p tcp -m state --state ESTABLISED,RELATED -d ! 192.168.0.0/22 -j ACCEPT #Пропускать установленые tcp соединения из любой сети в интернет
iptables -A FORWARD -j ALLOWED #Загоняем весь проходящий траффик в цепочку ALLOWED
iptables -A ALLOWED -s 192.168.1.10 -d ! 192.168.0.0/22 -p tcp --dport 8080  -m mac --mac-source 00:00:00:00:00:01 -m state --state NEW -j ACCEPT
#Дословно - пропускать новые соедиения с ip 192.168.1.10 в сети отличные от 192.168.0.0 (в вашем случае - интернет) на порт 8080

Для остальных портов и адресов - аналогично предыдущему правилу.
Опционально:
iptables -A FORWARD -s 192.168.0.0/22 -d 192.168.0.0/22 -j ACCEPT - пропускть все что угодно в пределах 192.168.0.0/22

LSV я блин незнаю, где вы ЭТО взяли, но если сами написали - то следует отметить, что пакеты проходящие маршрутизацию не предназначеные маршрутизатору никоим образом в INPUT не попадут. Это не ipchains отнюдь... Наверное конфиг сгенерированый какой-нить софтиной?

UPDATED: поправил правило маскарадинга, теперь оно касается только интернет-траффика )