iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
Esto significa que su interfaz ppp33 tiene configuración de traducción de direcciones de red (NAT) para todas las solicitudes al destino de 192.168.1.101:44447.
iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.101 --dport 44447 -j ACCEPT
Esta regla complementa la regla anterior al garantizar que la solicitud se reenvíe al host 192.168.1.101.
iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
Esta regla establece que cuando ve banderas SYN solo en un paquete TCP, registrará "Intrusión" hasta 6 veces por hora (gracias a Gilles por la llamada). Esto se hace comúnmente para ayudar a un administrador a descubrir escaneos de red Stealth. Esto es para todos los tcp entrantes al host.
iptables -A FORWARD -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
Esto es lo mismo que lo anterior, pero para todos los paquetes TCP destinados a otros hosts que se encuentran detrás de este NAT de hosts para los que puede estar haciendo alguna traducción.
iptables -A INPUT -i ppp33 -j DROP
Esta es una regla que lo abarca todo. Si ve cualquier otro tráfico destinado a este host Y no cumple con las reglas anteriores, ABANDONE la conexión.
iptables -A FORWARD -i ppp33 -j DROP
Igual que la regla anterior, pero DROP conexiones para cualquier cosa que pueda reenviarse a otra máquina a la que esta máquina pueda reenviar.
iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
Los paquetes TCP enviados a la interfaz PPP (es decir, desde el lado de Internet) en el puerto 44447 se reenvían a la dirección IP 192.168.1.101, que se encuentra en el rango de la red privada. El enrutador está realizando NAT, específicamente DNAT. Esto significa que los hosts externos pueden comunicarse con su 192.168.1.101 en el puerto 44447 comunicándose con su enrutador.
iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
Esta línea registra los paquetes TCP SYN (paquetes que (intentan) iniciar una conexión), provenientes de Internet. Todos estos paquetes se registran excepto los que se redirigen anteriormente mediante la regla PREROUTING. Sin embargo, existe un límite de velocidad para el registro:no se registran más de 6 paquetes de este tipo en una ventana de 1 hora, los siguientes se ignoran.
iptables -A INPUT -i ppp33 -j DROP
Cualquier otro paquete entrante se descarta silenciosamente.
Registrar estos intentos de conexión es bastante aburrido. Cualquier máquina conectada a Internet es escaneada a menudo por varios bots en busca de posibles vulnerabilidades. Debe bloquear las conexiones entrantes excepto a los puertos examinados. Es muy poco probable que obtenga algún valor de los registros de intentos de conexión bloqueados.