Az alsó 2 $IPT sort mindenképpen hagyjad benne, az első kettőt én sem vágom, SuSEfirewall2-ben volt (netről jövő csomagot netre dobni vissza - ez nagyon lol, de biztos megvan az oka - ez az első sor).
A tcp/udp pfw tömbök jelölik, hogy a külső interfész akárhanyas portjára érkező kapcsolat (kettőspontokkal határolva ez az első mezőt jelnti) melyik belső hálós gépre továbbítódjon, és ott milyen portra.
Nekem, mint mondtam, a belső háló 10.0.0.0/8-as (igazából a scriptben a portforwardból nem az látszik, mert átírtam). Szóval ha a routerem 10.0.0.1 (belső hálón) és az internet felől a 40-es portra érkező TCP kapcsolatot a 10.0.1.2-es belső gép 22-es portjára szeretném továbbítani, akkor elég annyit megadni,hogy
tcp_pfw[1]=40:10.0.0.2:22
Mivel ezek tömbök, fontos, hogy minden portforwardhoz külön tömbindex tartozzon, különben a legutolsó az érvényes.