DMZ=192.168.2.*
LAN=192.168.69.*
Gateywas=192.168.69.250
Asus=192.168.69.248 und 192.168.2.1


# LAN Zugriff auf DMZ generell ermöglichen

iptables -A FORWARD -i br0 -o vlan2 -j ACCEPT

# PING aus DMZ ins Internet ermöglichen (aber nicht ins LAN 192.168.69.*)

iptables -A FORWARD -i vlan2 -o br0 -d ! 192.168.69.0/255.255.255.0 -p icmp -j ACCEPT

# Namensauflösung (DNS) für DMZ erlauben (über Fritzbox mit ip 192.168.69.250)

iptables -A FORWARD -i vlan2 -o br0 -p tcp -d 192.168.69.250 --dport 53 -j ACCEPT

iptables -A FORWARD -i vlan2 -o br0 -p udp -d 192.168.69.250 --dport 53 -j
ACCEPT


# HTTP(s) Zugriff aus DMZ ins Internet erlauben (optional, für Updates und Recherche)


iptables -A FORWARD -i vlan2 -o br0 -p tcp -d ! 192.168.69.0/255.255.255.0 --dport 80 -j ACCEPT

iptables -A FORWARD -i vlan2 -o br0 -p tcp -d ! 192.168.69.0/255.255.255.0 --dport 443 -j ACCEPT

# DMZ darf nicht auf den Asus Router (hat zwei IP Adressen !) kommen

iptables -I INPUT 1 -i vlan2 -d 192.168.69.248 -j REJECT
iptables -I INPUT 1 -i vlan2 -d 192.168.2.1 -j REJECT