Na NAT u staleho pripojeni je v POSTROUTING target SNAT nikoli MASQUERADE (ten se pouzije kdyz ma router dynamicky pridelenou verejnou IP).
A v realu je take vice nez vhodne pro takovy FW doplnit ochranu proti spoofingu, nespravnym ip na ruznych interfacech, remote localhost routingu, syn flood apod...
chtel jste napsat snad pro pevnou IP adresu, ne? nevidim duvod, proc nepouzit MASQUERADE. usetri se tim spousta veci, napr. pouzi proxy serveru, kdyz na to prijde.
adresy a rozhranni + romte localhost? rh "service iptables start" zapina sysctl rp_filter=1 v pripade, ze detekuje jadro 2.4 na vsech pritomnych zarizenich.
syncookies? zbytecne to znehodnoti kvalitu pocatecni kvalitu tcp spojeni.
ono je este napriklad aj slusne na vonkajsom iface s verejnou adresou zablokovat odchadzanie privatov (vsetkych 3 - 10.0.0.0/8 172.16.0.0/12 a 192.168.0.0/16) - pri troska vacsej sieti sa takychto packetov putujucich von od klientov vo vnutri vyskytne dost vela... (teda da sa to riesit aj tym ze nemam default ale neaky router vonku mi oznamuje iba relevantne prefixy (v sucasnosti ich je priblizne 130500) ale pochybujem ze zaciatocnici sa budu hrat s niecim ako je dynamicky routing :-) )
