deux filtrages à effectuer : 

Un concernant la machine routeur serveur-debian. Elle se fera avec la table FILTER et les chaines INPUT et OUTPUT. Le filtrage ne concernant que le fonctionnement de la machine : donc les services ssh, dns, ...et l'accès au LAN
Et une pour le LAN. Elle se fera via la table FILTER de la chaîne FORWARD.

# Vider les tables actuelles
iptables -F
iptables -t nat -F

#########Sur la machine routeur Serveur-Debian 172.16.10.1/28 ou 192.168.1.10/24 ################

# Interdire toute connexion entrante et sortante
iptables -P INPUT DROP
iptables -P OUTPUT DROP

# Etablir le suivi de connexion
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Autoriser loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Autoriser le ping (ICMP)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

###################  ouverture ports ########################

# Autoriser le DNS local (protocole UDP port 53 écoute au-dessus du port 1023) / protocole TCP pour relancer la connexion si réponse trop longue.
Je définie une plage de ports supérieurs à 1023 (valeur arbitraire) pour la réponse car j’ai lu, me semble-t-il, que le serveur DNS choisit au hasard le port de réponse.
Seules les connexions déjà établies sont acceptées (m state --state ! INVALID -j ACCEPT)
Je n’ai pas mis un état RELATED en retour car le protocole UDP ne peut avoir un état RELATED.

iptables -A OUTPUT -o eth0 -p udp --sport 1023: --dport 53 -m state --state ! INVALID -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp sport --1023 : --dport 53 -m state –state ! INVALID -j ACCEPT
iptables -A INPUT -i eth0 -p udp --sport 53 --dport 1023: -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 53 --dport 1023 : -m state --state INVALID -j ACCEPT
# Serveur SMTP (protocole tcp écoute port 25)
J’en n’ai pas ! Ou plutôt je ne vois pas l’intérêt d’avoir un serveur smtp qui assure le relais entre le serveur smtp de mon FAI et le mien ? Si on peut m’éclairer, je changerait peut-être d’avis.

# Accès SSH depuis le net
iptables -A INPUT -p tcp --dport xxxx -i etho -j ACCEPT
iptables -A OUTPUT -p tcp --dport xxxx -o eth0 -j ACCEPT

########## Sur le reseau LAN ##########################

# Tout ce qui est destiné à internet, qui arrive par le bridge et qui ressort par eth0 doit changer d'adresse.
iptables -t nat -A POSTROUTING -o eth0 -i br0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

# Intercepter toutes les requêtes qui arrivent sur le port 80 et les rediriger sur les machines du LAN (exepté le routeur)
iptables -t nat -A PREROUTING -i eth0 ! 172.16.10.1/28 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Toutes les connexions qui sortent du LAN vers le Net sont acceptées 
iptables -A FORWARD -i br0 -o eth0 -m state --state NEW, ESTABLISHED, RELATED -j ACCEPT

# Autoriser le ping sur le LAN
iptables -A FORWARD -p icmp -j ACCEPT

#Autoriser les connexions sur le LAN
iptables - A INPUT -i br0 -j ACCEPT
iptables -A OUTPUT -o br0 -j ACCEPT