Несколько вопросов по Sharewall
 

Всем доброго времени суток!

На досуге поставил себе такую замечательную вещь, как shorewall. Вроде все красиво и понятно. Но есть два нюанса, которые поставили в тупик:

1) Создаю правило DNAT с инета в $FW для доступа к SSH по порту 5000. Перезагружаю shorewall, проверяю коннект на 5000 - все ок. НО! Проверяю коннект на 22 - и тоже проходит! Делаю iptables-save, и таки да, есть правило, разрешающее принимать подключения по 22 порту. В документации написано, что правило DNAT создает сразу и разрешающее правило. Но по идее должно было создаться разрешающее правило по порту 5000. Вопрос - это баг или я чего-то недопонял?

2) Если у меня статический внешний IP, то логичнее использовать SNAT вместо маскарадинга. Но в примерах sharewall нашел только файл masq. Отсюда второй вопрос - как настроить SNAT?

На второй вопрос сам нашел ответ (в первый раз почему-то не увидел соотв-й раздел документации :( ). Достаточно в третьей колонке файла masq указать внешний ip, тогда будет работать SNAT вместо маскарадинга.