Внутренняя сеть 192.168.0.0-255 на eth1, интернет pptp через eth0 с динамическим ип. В iptables пока только 2 правила выравнивание размера пакетов и маскардинг. Как я понял маскардинг работает в обоих направлениях и ему побарабану из внутреней сети пакет в инет или из инета во внутренею сеть. Хотелось бы во первых закрыть сам сервер от любых конектов извне, во вторых закрыть сеть от конектов из вне ну и пробросить пару портов. Сделать сервер невидимым т.е чтобы снаружи было не видно что тут nat с кучей компов.