RA posle jen prefix + GW (v siti jich muze byt vic), pridelovat cokoli jinyho nez verejny IP je prasarna (a navic IPv6 NAT neumi a umet nebude bez hnusnych hacku) a na kontrolu provozu je firewall.

Co se konfigurace tejce, pokud chces resit provoz do vnitrni site, tak ve FORWARD, vetsinou se tam dava neco jako:

-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

politika samo na drop to ti v defaultu nepovoli zadnej provoz (neni jak navazat spojeni), pak neco takovyho:

-A FORWARD -s mujprefixprolan::/64 -j lan_out
-A FORWARD -d mujprefixprolan::/64 -j lan_in

coz ti rozhodi prichozi a odchozi provoz
a pak trebas takto:

-A lan_in -d mojekrasnaip/128 -p tcp -m tcp --dport 3389 -m state --state NEW -j ACCEPT
-A lan_out -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT

coz povoli prichozi provoz na RDP konkretniho stroje (navazani noveho propojeni, zbytek zaridi RELATED,ESTABLISHED) a odchozi provoz na http bez omezeni pro vsechny. Jeste je dobry povolit ICMP6.