Witam.

Problem wygląda tak, że jeśli na kompie po stronie WAN ustawię jako bramę mój router, to niestety normalnie mogę pingować z zewnątrz kompy z wewnętrznej sieci.

#!/bin/sh /etc/rc.common
    
    WAN=br-lan2
    IPT=/usr/sbin/iptables
    
        $IPT -F
        $IPT -F -t nat
        $IPT -F -t mangle
        $IPT -P OUTPUT ACCEPT
        $IPT -P FORWARD ACCEPT
        $IPT -P INPUT DROP
        $IPT -A INPUT  ! -i ${WAN} -j ACCEPT
        $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
        $IPT -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE

Jeśli niezrozumiale napisałem, to mogę dorobić obrazek, mniej więcej tak by to wyglądało:

niepożądany komp z zewnątrz:
192.168.0.100
brama 192.168.0.1

router:
WAN 192.168.0.1
LAN 192.168.1.1

komp wewnątrz:
192.168.1.100
brama 192.168.1.1

Da się taki ruch jakoś wyciąć na iptables?

Oczywiście normalnie "niepożądany" ma inną bramę, którą jest następny router, ale rozważam sytuację, w której jakiś złośliwiec sobie zmieni na adres mojego.