Postado originalmente por Avenger
Se você não tiver com saco de fazer os port forwards pelo seu router DSL, pode descomplicar meio caminho ativando a opção DMZ permanentemente para seu servidor Linux. Dessa forma, nem o site de configuração do modem vai poder ser acessado. Qualquer pacote que mandem pro seu router que não tejam na conntrack prá outras maquinas da rede ou com port forward definido vão ser automagicamente jogados pro seu servidor linux. Assim você recebe tudo que chegar pelo dsl direto no seu servidorzinho. Ah! Talvez seu router não tenha a opção de DMZ (DeMilitarized Zone), daí não tem outra saída que não o port forward.
Mas com o DMZ a filtraiada que você fizer no seu linux vão servir pra a rede toda, como se você estivesse com um modem instalado diretamente no seu linux e compartilhando a conexão pelo proprio linux -- quando na verdade a conexão está sendo compartilhada pelo router.
espero ter ajudado.