A jónak mondott megoldás a NET + LOCal + DMZ használata:
NET: ide csatlakozik a befele jövő internet és itt megy ki minden.
DMZ: ide kell tenni azokat a szolgáltatásokat, amit kintről is el akarsz érni (MAIL, FTP-ha nem csak belső, JOOMLA-eseteben, meg Apache PHP MySQL)
LOC: csak a belső hálózaton lévő gépek és az ahhoz tartozó PrintServer-ha van, nyilván a SAMBA/NFS itt lesz csak.
A router az összes hozzád tartozó netes szolgáltatást rout-olja a DMZ-s gépre, amibe jó ha RACK-es a HDD, amin a rendszert megfelelő beállítás után leimage-elted, és azután rakod ki publikusnak (mentés!)
Továbbá a router az összes belső hálózati kérést DROP-olja (drop_smb_all), és csak azt engeded ki a NET zónába, amit nagyon muszáj.
Valahogy így, persze a shorewall nem kötelező, csak itt találtam meg éppen...
/mazursky