iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
Cela signifie que votre interface ppp33 dispose d'une configuration de traduction d'adresses réseau (NAT) pour toutes les requêtes vers la destination 192.168.1.101:44447.
iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.101 --dport 44447 -j ACCEPT
Cette règle complète la règle précédente en garantissant que la requête est transmise à l'hôte 192.168.1.101.
iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
Cette règle stipule que lorsqu'il ne voit que des drapeaux SYN dans un paquet TCP, il enregistrera "Intrusion" jusqu'à 6 fois par heure (merci Gilles pour l'appel). Ceci est généralement fait pour aider un administrateur à découvrir les analyses de réseau Stealth. C'est pour tous les tcp entrants vers l'hôte.
iptables -A FORWARD -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
C'est la même chose que ci-dessus, mais pour tous les paquets TCP destinés à d'autres hôtes qui se trouvent derrière cet hôte NAT pour lequel il peut effectuer une traduction.
iptables -A INPUT -i ppp33 -j DROP
C'est une règle qui englobe tout. Si vous voyez un autre trafic destiné à cet hôte ET qui ne respecte pas les règles ci-dessus, ABANDONNEZ la connexion.
iptables -A FORWARD -i ppp33 -j DROP
Identique à la règle précédente, mais DROP connexions pour tout ce qui peut être transféré sur une autre machine vers laquelle cette machine peut transférer.
iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
Les paquets TCP envoyés à l'interface PPP (c'est-à-dire du côté Internet) sur le port 44447 sont renvoyés à l'adresse IP 192.168.1.101, qui se trouve dans la plage du réseau privé. Le routeur exécute NAT, spécifiquement DNAT. Cela signifie que les hôtes externes peuvent atteindre votre 192.168.1.101 sur le port 44447 en contactant votre routeur.
iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
Cette ligne enregistre les paquets TCP SYN (paquets qui (tentent d'établir) une connexion), provenant d'Internet. Tous ces paquets sont enregistrés sauf ceux qui sont redirigés plus tôt par la règle PREROUTING. Cependant, il existe une limite de débit pour la journalisation :pas plus de 6 de ces paquets sont enregistrés dans une fenêtre d'une heure, les suivants sont ignorés.
iptables -A INPUT -i ppp33 -j DROP
Tout autre paquet entrant est ignoré en silence.
La journalisation de ces tentatives de connexion est assez ennuyeuse. Toute machine connectée à Internet est souvent analysée par divers robots à la recherche de vulnérabilités potentielles. Vous devez bloquer les connexions entrantes, sauf pour les ports contrôlés. Il est très peu probable que vous obteniez une quelconque valeur des journaux des tentatives de connexion bloquées.