iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
Ini berarti antarmuka Anda ppp33 memiliki penyiapan Terjemahan Alamat Jaringan (NAT) untuk semua permintaan ke tujuan 192.168.1.101:44447.
iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.101 --dport 44447 -j ACCEPT
Aturan ini melengkapi aturan sebelumnya dengan memastikan permintaan diteruskan ke host 192.168.1.101.
iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
Aturan ini menyatakan bahwa ketika ia melihat flag SYN hanya dalam paket TCP, ia akan mencatat "Intrusion" hingga 6 kali per jam (terima kasih Gilles atas panggilannya). Ini biasanya dilakukan untuk membantu administrator menemukan pemindaian jaringan Stealth. Ini untuk semua tcp yang masuk ke host.
iptables -A FORWARD -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
Ini sama seperti di atas, tetapi untuk semua paket TCP yang ditujukan ke host lain yang berada di belakang NAT host ini yang mungkin sedang melakukan beberapa terjemahan.
iptables -A INPUT -i ppp33 -j DROP
Ini adalah aturan yang mencakup semua. Jika Anda melihat lalu lintas lain yang ditujukan untuk host ini DAN tidak memenuhi aturan di atas, HAPUS sambungannya.
iptables -A FORWARD -i ppp33 -j DROP
Sama seperti aturan sebelumnya, tetapi koneksi DROP untuk apa pun yang dapat diteruskan ke komputer lain yang dapat diteruskan oleh mesin ini.
iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
Paket TCP yang dikirim ke antarmuka PPP (yaitu dari sisi Internet) pada port 44447 dikirim ulang ke alamat IP 192.168.1.101, yang berada dalam jangkauan jaringan pribadi. Router melakukan NAT, khususnya DNAT. Artinya, host eksternal dapat menjangkau 192.168.1.101 Anda di port 44447 dengan menghubungi router Anda.
iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
Baris ini mencatat paket TCP SYN (paket yang (berusaha) memulai koneksi), yang masuk dari Internet. Semua paket tersebut dicatat kecuali yang diarahkan sebelumnya oleh aturan PREROUTING. Namun, ada batas kecepatan untuk masuk:tidak lebih dari 6 paket seperti itu dicatat dalam jendela 1 jam, yang berikutnya diabaikan.
iptables -A INPUT -i ppp33 -j DROP
Paket masuk lainnya dijatuhkan secara diam-diam.
Mencatat upaya koneksi ini cukup membosankan. Setiap mesin yang terhubung ke Internet sering dipindai, oleh berbagai bot yang mencari potensi kerentanan. Anda harus memblokir koneksi masuk kecuali ke port yang diperiksa. Anda sangat tidak mungkin mendapatkan nilai apa pun dari log upaya koneksi yang diblokir.