>[оверквотинг удален]
>>Ну а на первое что посоветую, при просветлении и прихода понимания паервым
>>делом прописать в правилах вот такое правило.
>>
>>iptables -A INPUT -i $internet_iface -p tcp --dport 22 -j ACCEPT
>>надеюсь будет понятно для чего.
>>
>>Ох, не раз я наступал на эти грабли.
>
>не "первым делом", а "первым правилом" ))) первым по номеру в цепочке
>INPUT

для таких целей (экспериментов) я, первым делом,  в самом конце скрипта, формирующего парвила iptables,  делаю:

$IPTABLES -I FORWARD 1 -s <мой IP>  -j ACCEPT
$IPTABLES -I INPUT 1 -s   <мой IP>  -j ACCEPT
$IPTABLES -I OUTPUT 1 -d  <мой IP>  -j ACCEPT
$IPTABLES -I FORWARD 1 -d <мой IP>  -j ACCEPT

Это 100% разрешит весь траффик между мной и удалённым сервером и ssh будет доступен.

iptables -A INPUT -i $internet_iface -p tcp --dport 22 -j ACCEPT  
Этот вариант открывает ssh в мир, что делает его уязвимым для атак брутфорсом.

Уверен что вы даже не искали инфу здесь же. Так вот тут:
https://www.opennet.ru/docs/RUS/iptables/
всё очень подробно описано и есть примеры скиптов. Записал туда свои значения переменных и пользуйся на здоровье.

Касательно NAT там тоже всё написано.

p.s. Читать, читать и ещё раз читать...

Например попадание под правило с DNAT.
Всегда умиляюсь пионерам, упорно не желающим использовать опыт старших товарищей и жаждущих пройтись по всем граблям самостоятельно.

>[оверквотинг удален]
>>в них допущена ошибка и удаленное соединение будет прервано.
>>Вывод 1: предыдущие советы идут лесом ибо попадают под аксиому.
>>Вывод 2: нужен механизм гарантирующий возврат старых правил в случае проблемы с
>>новыми. Чаще всего это делается на основе записи(для iptables при помощи
>>iptables-save) старых правил в файл и автоматическом восстановления из файла спустя
>>время. Задержка осуществляется через использование cron/at или простого sleep.
>
>объясни мне каким образом может iptables обрубить коннект если В КОНЦЕ скрипта
>настройки файрволла БУДЕТ
>

элеметрарно. и даже удивтельно если этого не произойдет. потому что "нормальный" скрипт перезапуска должен поставить перед очисткой правил цепочек политики всех цепочек в DROP.
думаю не надо пояснений для чего - тут и так все прозрачно.
а вот тут как раз и твой вопрос - как не наколоться, когда самого отшьет. и где гарантия что сможешь сам подключиться.
вот тебе АКСИОМА - если ты root, то сам за все отвечаешь. все остальные аксиомы - игрушки и словоблудие.

>$IPTABLES -I FORWARD 1 -s <мой IP>  -j ACCEPT
>$IPTABLES -I INPUT 1 -s   <мой IP>  -j ACCEPT
>$IPTABLES -I OUTPUT 1 -d  <мой IP>  -j ACCEPT
>$IPTABLES -I FORWARD 1 -d <мой IP>  -j ACCEPT
>?
>
>И если твоя "аксиома" является аксиомой, то что запрещает её применить к
>настройкам крона? Да и вообще, ко всем конфигам? :)

>[оверквотинг удален]
>>iptables-save) старых правил в файл и автоматическом восстановления из файла спустя
>>время. Задержка осуществляется через использование cron/at или простого sleep.
>
>объясни мне каким образом может iptables обрубить коннект если В КОНЦЕ скрипта
>настройки файрволла БУДЕТ
>
>$IPTABLES -I FORWARD 1 -s <мой IP>  -j ACCEPT
>$IPTABLES -I INPUT 1 -s   <мой IP>  -j ACCEPT
>$IPTABLES -I OUTPUT 1 -d  <мой IP>  -j ACCEPT
>$IPTABLES -I FORWARD 1 -d <мой IP>  -j ACCEPT

если коннектикшся только к серверу. то FORWARD = дыра. в эту цепочку идут пакеты которые транзитом следуют через сервер, а не на него. OUTPUT таблицу вообще пока не тррогай. потом понимание придет. щас ее пустую и ACCEPT POLICY поставь.

я бы так сделал для начала:

-I INPUT 1 -s <мой IP> -p tcp --dport 22 --syn -m state NEW -j ACCEPT
-I INPUT 2 -m state --state ESTABLISHED -j ACCEPT
-I INPUT 3 -m state --state RELATED -j ACCEPT

хотя нагнал - последнее правило не нужно для твоего подключения. но просто посмотри и попробуй понять что все это делает.

а потом почитай и пойми:
- для чего какая стандартная цепочка предназначена
- кроме цепочек есть таблицы, и они тоже предназначены для разных задач.
- изучай таблицы filter и nat для начала - на остальные просто внимание не обращай. они тебе скорее всего в ближайшем будущем не понадобятся. когда в голове уложится все предыдущее - за них возьмешься.

>?
>
>И если твоя "аксиома" является аксиомой, то что запрещает её применить к
>настройкам крона? Да и вообще, ко всем конфигам? :)

не переживай. все со временет будет. читай по мере задач ту ссылку что я дал и не напрягайся. советую про -j LOG почитать. очень способствует пониманию.

PS дистрибутив линукса какой там у тебя? глупо скрипты писать для iptables. там все уже как правило в системе есть.

Неужели так сложно увидеть разницу между "всегда есть шанс на ошибку" и "всегда есть шанс на ошибку в конкретном случае"? Попробую объяснить на доступной аналогии.
При перебегании дороги на красный свет в час пик всегда есть шанс, что тебя собьет машина. Для того, чтобы убрать влияние данного фактора я советую переходить дорогу на зеленый свет. Разумеется все еще есть шанс быть сбитым, но он значительно ниже. Другие же советуют как зорче осматриваться и как лучше отпрыгивать от машин, продолжая бежать на красный.