Минимальный набор правил фаервола, ничего лишнего и в то же время полная защита от ненужных подключений.
Здесь ether2 — внешний интерфейс, 192.168.1.0/24 — локальна сеть, 45000 — порт торрента.
Разрешаем пинги
add chain=input action=accept protocol=icmp
add chain=forward action=accept protocol=icmpРазрешаем установленные подключения
add chain=input action=accept connection-state=established
add chain=forward action=accept connection-state=establishedРазрешаем связанные подключения
add chain=input action=accept connection-state=related
add chain=forward action=accept connection-state=relatedРазрешаем все подключения из нашей локальной сети
add chain=input action=accept src-address=192.168.1.0/24 in-interface=!ether2Разрешаем входящие подключения для торрента
add chain=forward action=accept protocol=tcp in-interface=ether2 dst-port=45000Обрубаем инвалидные подключения
add chain=input action=drop connection-state=invalid
add chain=forward action=drop connection-state=invalidОбрубаем все остальные входящие подключения
add chain=input action=drop in-interface=ether2Разрешаем доступ из локальной сети в интернет
add chain=forward action=accept in-interface=!ether2 out-interface=ether2Обрубаем все остальные подключения
add chain=forward action=drop