Начну издалека

На модемах zyxel 600-й серии есть NAT. Этот NAT выполняет еще функцию файрвола. Но если пробрасываешь порт, то файрвол автоматически отключается и внутренняя сеть становится открытой. На данный момент я вышел из положения, добавив правило, которое перенапавляет все внешние запросы на несуществующий внутренний айпи! Но хочется сделать так чтобы мышь не проскочила!!!

В общем меня появилась идея, сделать такой же NAT под нашим интернет шлюзом(linux+iptables).

Для этого:
1. Покупаю еще одну сетевуху(eth1), и соединяю её напрямую с картой модема(минуя свич).
2. Добавляю в цепочку iptables действие SNAT.
3. Добавляю правило iptables -A INPUT -i eth1 -j DROP

Но меня терзают сомнения, что при таком раскладе будут сбрасываться ответы на запросы из моей внутренней сети..

В общем подтвердите-опровергините мои сомнения, посоветуйте чего нибудь.... хочется, чтобы мышь не проскочила без моего ведома!