He añadido este problema porque un amigo me dijo algo que había olvidado completamente. Ciertos Proveedores de Acceso a Internet (ISPs) realmente estúpidos asignan las direcciones IP de las redes locales (asignadas por el IANA) para la configuración de conexión de todos sus clientes. Por ejemplo, el ISP y monopolio sueco Telia emplea este método por ejemplo en sus servidores DNS (Servidor de Nombres de Dominio), que cubren el rango de direcciones 10.x.x.x. El problema es que en este script no se permiten conexiones desde ninguna dirección IP del rango 10.x.x.x, debido a las posibilidades de simulación de la dirección IP de origen (el "spoofing", ya discutido en el punto anterior, es una técnica mediante la cual el ordenador atacante modifica la cabecera de los paquetes IP de forma que el servidor/cortafuegos crean que provienen de una dirección IP en la que se confía o que al menos no es sospechosa, de forma que atraviesan el cortafuegos sin problemas). Bueno, tristemente es una situación en la que debes olvidarte de estas reglas para esas direcciones, insertando un ACCEPT antes de la sección Spoof, para permitir el tráfico desde esos servidores DNS, o puedes simplemente convertir en comentario esa parte del script. Más o menos se debe parecer a ésto:
/usr/local/sbin/iptables -t nat -I PREROUTING -i eth1 -s \
10.0.0.1/32 -j ACCEPT
Me gustaría tomarme un momento para maldecir a esos ISPs. Estos rangos de direcciones IP no se han asignado para tonterías como ésa, por lo menos no que yo sepa. Para la red de grandes empresas, para la red local de tu casa, éstos sí son buenos ejemplos y no el hecho de que estés obligado a abrir tu red por la "feliz" idea de algún listillo.