ここでは、ルータに入るパケット、ルータから出るパケット、ルータを通過するパケットについてのルール（ポリシ）を決定します。

ルータに入るパケット

ルータに入るパケットというのは、「ルータ自体があて先で、ルータが処理すべきパケット」の事を指します。例を挙げると、現在構築中のルータについ
ているFirefoxブラウザで、外部にアクセスした際の、受け取るhtmlデータなどを指します。「通過する」ために入るパケットはここではなく、
「ルータを通過するパケット」のところでのルールが適用されます。

ここでは、

・不正な（攻撃に使われるような）パケットは拒否
・すでに接続が確立されているパケットであれば許可
・あとは拒否

とします。外部から新しく何かの接続を確立させよう、というものははじき、こちらからの応答のみ許可します。

ルータから出るパケット

ルータから出るパケットというのは、「ルータ自体が送信元のパケット」の事を指します。例を挙げると、現在構築中のルータについている
Firefoxブラウザで、外部にアクセスする際の、データ要求などを指します。「通過した」結果出るパケットはここではなく、「ルータを通過するパケッ
ト」のところでのルールが適用されます。

ここでは、

・不正な（攻撃に使われるような）パケットは拒否。
・あとは許可。

とします。

ルータを通過するパケット

ルータに、ルータ以外への、ほかへのあて先のパケットがきたときどう処理するかを決めます。ルータなので、ここが一番重要です。言わずもがな、ここではすべて

・不正な（攻撃に使われるような）パケットは拒否。

とします。

WAN→DMZ

・あて先ポートがDMZ内サーバのサービスに使用されているポートならば、
　送信先IPアドレスをDMZ内サーバ（192.168.10.2）に変換して通過させる。
・それ以外は拒否。

WAN→LAN

・すでに接続が確立されているパケットであれば、IPマスカレードのIP変換
　テーブルに基づいて、送信先IPアドレスをLAN内端末のIPアドレスに変換
　して通過させる。
・それ以外は拒否。

DMZ→WAN

・すべてIPマスカレードを実行して通過。

DMZ→LAN

・すでに接続が確立されているパケットであれば通過させる。
・それ以外は拒否。

LAN→WAN

・すべてIPマスカレードを実行して通過。

LAN→DMZ

・基本的にすべて通過。