dinoo Meni to zvuči da int smije pristuputi webu na portu 22. web tada treba biti definiran sa -d.
Ali program se odvija na webu. Sve što je u INPUT je automatski web. Čim definiraš ulazni interface eth1 i lanac INPUT, destination adresa ne može biti ništa drugo osim 10.0.1.1. Teoretski ako imaš pravilo protiv spoofanja ne treba niti interface postaviti, samo source adresu. Naravno ništa od toga ne škodi i dobra je ideja ubaciti redundanciju za svaki slučaj.
Ali ovaj --state NEW mi nikako nema smisla. Da, ne škodi, ali nije niti nimalo koristan. U primjerima koji su nam dani nikad nije korišten.