Минимальный набор правил фаервола, ничего лишнего и в то же время полная защита от ненужных подключений.
Здесь ether2 — внешний интерфейс, 192.168.1.0/24 — локальна сеть, 45000 — порт торрента.
Разрешаем пинги
add chain=input action=accept protocol=icmp
add chain=forward action=accept protocol=icmp
Разрешаем установленные подключения
add chain=input action=accept connection-state=established
add chain=forward action=accept connection-state=established
Разрешаем связанные подключения
add chain=input action=accept connection-state=related
add chain=forward action=accept connection-state=related
Разрешаем все подключения из нашей локальной сети
add chain=input action=accept src-address=192.168.1.0/24 in-interface=!ether2
Разрешаем входящие подключения для торрента
add chain=forward action=accept protocol=tcp in-interface=ether2 dst-port=45000
Обрубаем инвалидные подключения
add chain=input action=drop connection-state=invalid
add chain=forward action=drop connection-state=invalid
Обрубаем все остальные входящие подключения
add chain=input action=drop in-interface=ether2
Разрешаем доступ из локальной сети в интернет
add chain=forward action=accept in-interface=!ether2 out-interface=ether2
Обрубаем все остальные подключения
add chain=forward action=drop