# 1. Очищаем текущую цепочку FORWARD, чтобы не путаться в номерах
iptables -F FORWARD

# 2. Первым делом — разрешаем ответы (чтобы сервер и интернет работали)
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# 3. Директор (Полный доступ)
iptables -A FORWARD -s 192.168.10.10 -j ACCEPT

# 4. Кладовщик (Только интернет: ICMP, 80, 443)
# ! -d 192.168.0.0/16 означает "кроме локальной сети"
iptables -A FORWARD -s 192.168.30.30 -d 192.168.0.0/16 -j DROP
iptables -A FORWARD -s 192.168.30.30 -p icmp -j ACCEPT
iptables -A FORWARD -s 192.168.30.30 -p tcp -m multiport --dports 80,443 -j ACCEPT

# 5. Бухгалтер 
# Разрешаем к серверу
iptables -A FORWARD -s 192.168.20.20 -d 192.168.40.40 -p icmp -j ACCEPT
iptables -A FORWARD -s 192.168.20.20 -d 192.168.40.40 -p tcp --dport 80 -j ACCEPT
# Запрещаем к остальной локалке (Директору и Кладовщику)
iptables -A FORWARD -s 192.168.20.20 -d 192.168.0.0/16 -j DROP
# Разрешаем в интернет (всё остальное)
iptables -A FORWARD -s 192.168.20.20 -j ACCEPT

# 6. DNS (чтобы имена сайтов разрешались)
iptables -A FORWARD -p udp --dport 53 -j ACCEPT

test