Iptables закрыть все порты кроме некоторых на определенном сетевом интерфейсе?

Привет всем!
Имеем: сетевой интерфейс tun0 ("внутренняя" сеть), eth0 - ему назначен внешний IP.
Нужно запретить все порты на сетевом интерфейсе eth0 кроме 1194 UDP и 22 TCP, соответственно, tun0 трогать нельзя.
Попробовал так:
iptables -A INPUT -i eth0 -j DROP
Но соединения также блокируются и на tun0. Подскажите п-ж, как все правильно сделать?