krx wrote:

> O bet tačiau, jei užkabinsiu tik ant filter/FORWARD, bet neužkabinsiu 
> ant filter/INPUT, tai pačiam maršrutizatoriui skirti paketai jį pasieks? 
> To aš irgi nenoriu palikti atviro.

filter/INPUT taikoma routeriui, filter/FORWARD - tinklui už routerio.

NAT atvejis, RDP prisijungimus permetam į vidinio tinklo kompus:
-A INPUT -s $ip -p tcp --dport x:z -j ACCEPT
....
*nat
-A PREROUTING -p tcp --dport y -j DNAT --to X.Y.Z:3389

Routeris užsuka SMTP kraniuką:

-A INPUT -d $my_IP -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -d $my_SMTP -p tcp --dport 25 -j ACCEPT
-A FORWARD -p tcp --dport 25 -j LOG --log-prefix "FORWARD: SMTP out: "
-A FORWARD -i $vidinis_eth -d 0/0 -p tcp --dport 25 -j REJECT

25 port'ą atidariau tiek per INPUT, tiek per FORWARD nes kartais keli 
vidiniai kompai į SMTP kreipiasi išoriniu IP. Kodėl taip gaunas 
neįsivaizduoju, BIND'o 'views' sustatyti tvarkingai.

-- 
  ejs