iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
To znamená, že vaše rozhraní ppp33 má nastavení překladu síťových adres (NAT) pro všechny požadavky na cíl 192.168.1.101:44447.
iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.101 --dport 44447 -j ACCEPT
Toto pravidlo doplňuje předchozí pravidlo tím, že zajišťuje, aby byl požadavek předán hostiteli 192.168.1.101.
iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
Toto pravidlo říká, že když vidí příznaky SYN pouze v paketu TCP, zaznamená "Intrusion" až 6krát za hodinu (díky Gillesovi za volání). To se běžně provádí, aby pomohl správci objevit skenování sítě Stealth. Toto je pro všechny tcp příchozí do hostitele.
iptables -A FORWARD -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
To je stejné jako výše, ale pro všechny pakety TCP určené jiným hostitelům, kteří sedí za tímto hostitelem, NAT, pro který může být prováděn nějaký překlad.
iptables -A INPUT -i ppp33 -j DROP
Toto je pravidlo, které zahrnuje vše. Pokud uvidíte jakýkoli jiný provoz, který je určen pro tohoto hostitele A nesplňuje výše uvedená pravidla, ZRUŠTE připojení.
iptables -A FORWARD -i ppp33 -j DROP
Stejné jako předchozí pravidlo, ale DROP spojení pro cokoli, co může být přesměrováno na jiný počítač, na který může tento počítač přeposílat.
iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
TCP pakety odeslané do PPP rozhraní (tedy ze strany internetu) na portu 44447 jsou znovu odesílány na IP adresu 192.168.1.101, která je v rozsahu privátní sítě. Router provádí NAT, konkrétně DNAT. To znamená, že externí hostitelé mohou dosáhnout vašeho 192.168.1.101 na portu 44447 kontaktováním vašeho routeru.
iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
Tento řádek zaznamenává pakety TCP SYN (pakety, které (pokusí se) zahájit spojení), přicházející z Internetu. Všechny takové pakety jsou protokolovány kromě těch, které byly dříve přesměrovány pravidlem PREROUTING. Existuje však rychlostní limit pro protokolování:během 1 hodiny se nezaznamená více než 6 takových paketů, další pakety jsou ignorovány.
iptables -A INPUT -i ppp33 -j DROP
Jakýkoli další příchozí paket je tiše zahozen.
Protokolování těchto pokusů o připojení je docela nudné. Jakýkoli počítač připojený k internetu je často skenován různými roboty, kteří hledají potenciální zranitelnosti. Měli byste blokovat příchozí připojení kromě prověřených portů. Je velmi nepravděpodobné, že byste získali nějakou hodnotu z protokolů zablokovaných pokusů o připojení.