再リッピングが一段落付いて、サーバーを元の場所に戻した。ここから、インターネット用とLAN用の二つNetwork Interfaceを作った時のフィルタルールを試行錯誤。このサーバーはルータとしては機能しないので、比較的簡単なはずである。

1. smbやcifsのパケットをdenyする。
2. loopbackをallowにする。
3. ssh、mail、dns、ntpを解放。
4. LAN向けインターフェイスを経由したパケットは全て許容する。

最初は4番目を from 192.168.x.x to meとfrom me to 192.168.x.xという2行で指定したのだが、なぜかfireflyとかmediatombといったマルチメディア系サーバーが見えない。 httpとかtelnetは通るので、アドレス指定というよりはパケットの種類を指定し損ねている雰囲気。しばらく頭を悩ませた後、 viaオプションでインターフェイスを指定した。 LANは問題なくなったが、これでWANからのアクセスを止められるのだろうか。