Ahogy én szoktam a tűzfalakat tervezni:
1. lo interfészre mindent engedni, conntrack-ot kikapcsolni hozzá...
2. raw táblában alacsonyszintű csomag ellenőrzést végezni... (Pl. MAC cím alapján dobálni, vagy akár protokoll alapján)
3. mangle táblában a sávszélesség menedzsmenthez szükséges csomagmegjelölés beállítása...
4. nat táblában a címfodításokat végeztetni... (Ez a tábla csak egyszer van meghívva egy kapcsolat alatt !!!)
5. filter táblában conntrack-ot aktiválni, és amit nem ismer fel, az vagy NEW, vagy INVALID... Ez alapján szűrni...
6. A szűrést érdemes szétszedni úgy, hogy minél kevesebb lépésből eldönthető legyen, mi lesz a sorsa a csomagnak...
7. Ha kell, akkor naplózni és eldobni a csomagot... (LOGDROP cél készítése.)
Ha kell, akkor privátban elküldöm a diplomám anyagát :D Egy modult fejlesztettem iptables alá... :D
--
Debian Linux rulez... :D