サーバとして ・外部からの接続パケットは基本的にすべて破棄 ただし接続済み通信のパケットは許可 ・内部からの接続パケットは基本的にすべて許可 ・ループバックアドレスに関してはすべて許可 ・メンテナンスホストからのping、メンテナンスホストへのpingを許可 ・メンテナンスホストからのssh(TCP 22)を許可 ルータとして ・内部アドレスやプライベートアドレスが外部に漏れないようにブロック ・外部から内部ネットに入ってくるパケットを書き換え 対象パケット:ディスティネーションポートがTCP 80 ディスティネーションアドレスを内部ネットの複数のHTTPサーバアドレスに分散転送 ・外部(eth0)からHTTPサーバへのパケットは転送を許可 テンプレート10で、DNATを使用して外部からNAT内の特定サーバへのアクセスを許可する方法を紹介しました。ディスティネーションポートがTCP 80の