IPTablesが私が要求したことをしていない

ここのコミュニティは素晴らしいです！

ASUS 3100ワイヤレスルーターと約4台のIPカメラがあります。私の古いルーターでは、発信トラフィックを簡単にブロックできるため、カメラが「家に電話をしていない」ことを確認できました。このルーターでも同じことをしたいので、まずポートフォワーディングツールを使用することに決め、次にIPTABLEの検索を開始しました。 これがasuswrt-merlinがルーター管理ツールとiptablesでポート転送を使用するための問題であるかどうかはわかりません。私は疑わしいでしょう...右？

私の目標：

1. デフォルトでは、192.168.1.0 / 29の発信および着信トラフィックをブロックします
2. 例外：少数の信頼できるIP（職場または友人の家）に対してのみ120：130を開きたい。これらのIPが150.150.150.150と250.250.250.0/24（これらのポートにアクセスするためにブラウザーを使用しますが、とにかくそれはおそらく問題ではありません）であるため、CAMERA＃2にアクセスする場合はDDNS.dns.com:121
3. 例外：カメラはSMTPS（ポート465）経由で電子メールを送信するため、電子メールを送信できるようにそれを開きたいと思います。

他のどこかで通信するIoTのものがあるので、INPUT / OUTPUTをブロックしたくないので、デフォルトポリシーを変更してそれをブロックしたくありません。私はそれがどのように機能するかを誤解していない限り。

最新のAsuswrt-Merlinでルーターをフラッシュし、JFFSカスタムスクリプトを有効にしました。下の私は、ファイルを作成した/jffs/scripts/と呼ばれますfirewall-start。shebangで始まるファイルを編集し、いくつかのルールを追加しました（これについては後で説明します）。使用しましたservice restart_firewall。私が入ろうとしている問題は、適切な結果が得られていないことであり、ルールを間違っているか、またはおそらく順序を書いている可能性が非常に高いです。

iptablesを前方に試し、iptables INPUT＆OUTPUTを試し、「INSERT」/「APPEND」の組み合わせを試しました。何らかの理由で、すべてをブロックするか、完全に開いたままにします。私の究極の目標には決して従いません。FORWARDまたはINPUTまたはOUTPUTのいくつかの順序またはデフォルトルールに関係していると確信していますが、それを理解することはできません。

ルールも1つずつ挿入しました。簡単に始められるもの。

iptables -I FORWARD -d 192.168.1.0/29 -p tcp --dport 17111 -j DROP

これはドロップします。canyouseeme.orgを試してみて、コードに「put put put」と書かれていると、「successful」と表示されることがあるため、気が遠くなることがあります。失敗したということもあります（ドロップしたことを意味する）ので、時々それは私が遭遇することですが、おそらくそれは無関係な問題のように聞こえます。それから私は自分自身に大丈夫だと言っています。INSERTが明らかに一番上に行くので、これの後にINSERTルールを追加しましょう。上記のコードの後に​​これを追加しました：

iptables -I FORWARD -s myworkip -d 192.168.1.0/29 -p tcp --dport 121 -j ACCEPT

そのため、ファイル内のこれら2つで。iptablesをフラッシュし、ファイアウォール開始サービスを再起動して、新しいルールを取得します。私iptables -Lはそれを正しい順序で使用しています。Webページddns.dns.com:121とnadaをリロードしてテストします。ロードされません。キャッシングですか？時間は必要ですか？時々5分間待ちますが、それでも何もありません。私は再びcanyouseeme.orgを使用しますが、それでも最後のDROPコードから失敗と表示されます。

私を助けてくれる専門家が必要です。現在の私の既存のiptableは次のとおりです。

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DROP       icmp --  anywhere             anywhere             icmp echo-request
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
DROP       all  --  anywhere             anywhere             state INVALID
PTCSRVWAN  all  --  anywhere             anywhere
PTCSRVLAN  all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             state NEW
ACCEPT     all  --  anywhere             anywhere             state NEW
OVPN       all  --  anywhere             anywhere             state NEW
ACCEPT     udp  --  anywhere             anywhere             udp spt:bootps dpt:bootpc
INPUT_ICMP  icmp --  anywhere             anywhere
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
other2wan  all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere             state INVALID
ACCEPT     all  --  anywhere             anywhere
NSFW       all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             ctstate DNAT
OVPN       all  --  anywhere             anywhere             state NEW
ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain ACCESS_RESTRICTION (0 references)
target     prot opt source               destination

Chain FUPNP (0 references)
target     prot opt source               destination

Chain INPUT_ICMP (1 references)
target     prot opt source               destination
RETURN     icmp --  anywhere             anywhere             icmp echo-request
RETURN     icmp --  anywhere             anywhere             icmp timestamp-request
ACCEPT     icmp --  anywhere             anywhere

Chain NSFW (1 references)
target     prot opt source               destination

Chain OVPN (2 references)
target     prot opt source               destination

Chain PControls (0 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Chain PTCSRVLAN (1 references)
target     prot opt source               destination

Chain PTCSRVWAN (1 references)
target     prot opt source               destination

Chain SECURITY (0 references)
target     prot opt source               destination
RETURN     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
DROP       tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/SYN
RETURN     tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
DROP       tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,ACK/RST
RETURN     icmp --  anywhere             anywhere             icmp echo-request limit: avg 1/sec burst 5
DROP       icmp --  anywhere             anywhere             icmp echo-request
RETURN     all  --  anywhere             anywhere

Chain default_block (0 references)
target     prot opt source               destination

Chain logaccept (0 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             state NEW LOG level warning tcp-sequence tcp-options ip-options prefix "ACCEPT "
ACCEPT     all  --  anywhere             anywhere

Chain logdrop (0 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             state NEW LOG level warning tcp-sequence tcp-options ip-options prefix "DROP "
DROP       all  --  anywhere             anywhere

Chain other2wan (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere

前もって感謝します！