Здравствуйте, дорогие форумчане.
Вопрос очень прост. Как ПРАВИЛЬНО написать правила проброса порта с внешного ip на хост внутри локальной сети? У меня 2 варианта:1) Ограничиваем проброс указанием источника:
-A PREROUTING -t nat -s 1.1.1.1 -d 2.2.2.2 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.1
и разрешаем проход в FORWARD
-A FORWARD -i eth2 -o eth0 -d 192.168.1.1 -p tcp --dport 3389 -j ACCEPT
2) Или же пробрасываем всех страждущих
-A PREROUTING -t nat -d 2.2.2.2 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.1
а не угодных "косим" в FORARD
-A FORWARD -i eth2 -o eth0 -s 1.1.1.1 -p tcp --dport 3389 -j ACCEPT
-A FORWARD -i eth2 -o eth0 -p tcp --dport 3389 -j DROP
Какое решение, идиологически, более правильное??