iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
Ciò significa che la tua interfaccia ppp33 dispone della configurazione NAT (Network Address Translation) per tutte le richieste alla destinazione 192.168.1.101:44447.
iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.101 --dport 44447 -j ACCEPT
Questa regola integra la regola precedente assicurando che la richiesta venga inoltrata all'host 192.168.1.101.
iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
Questa regola afferma che quando vede i flag SYN solo in un pacchetto TCP, registrerà "Intrusion" fino a 6 volte all'ora (grazie Gilles per la chiamata). Questo è comunemente fatto per aiutare un amministratore a scoprire scansioni di rete invisibili. Questo vale per tutti i tcp in entrata verso l'host.
iptables -A FORWARD -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
Questo è lo stesso del precedente, ma per tutti i pacchetti TCP destinati ad altri host che si trovano dietro questo host NAT per i quali potrebbe essere in corso una traduzione.
iptables -A INPUT -i ppp33 -j DROP
Questa è una regola che abbraccia tutto. Se vedi altro traffico destinato a questo host E non soddisfa le regole di cui sopra, CHIUDI la connessione.
iptables -A FORWARD -i ppp33 -j DROP
Uguale alla regola precedente, ma DROP connessioni per tutto ciò che può essere inoltrato su un'altra macchina a cui questa macchina può inoltrare.
iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
I pacchetti TCP inviati all'interfaccia PPP (ovvero dal lato Internet) sulla porta 44447 vengono rinviati all'indirizzo IP 192.168.1.101, che si trova nell'intervallo della rete privata. Il router sta eseguendo NAT, in particolare DNAT. Ciò significa che gli host esterni possono raggiungere il tuo 192.168.1.101 sulla porta 44447 contattando il tuo router.
iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
Questa riga registra i pacchetti TCP SYN (pacchetti che tentano di avviare una connessione) provenienti da Internet. Tutti questi pacchetti vengono registrati tranne quelli reindirizzati in precedenza dalla regola PREROUTING. Tuttavia, esiste un limite di velocità per la registrazione:non vengono registrati più di 6 pacchetti di questo tipo in una finestra di 1 ora, quelli successivi vengono ignorati.
iptables -A INPUT -i ppp33 -j DROP
Qualsiasi altro pacchetto in arrivo viene scartato silenziosamente.
La registrazione di questi tentativi di connessione è piuttosto noiosa. Qualsiasi macchina connessa a Internet viene spesso scansionata da vari bot alla ricerca di potenziali vulnerabilità. Dovresti bloccare le connessioni in entrata tranne che verso le porte controllate. È altamente improbabile che tu ottenga alcun valore dai log dei tentativi di connessione bloccati.