iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
Это означает что Ваш интерфейс ppp33
имеет установку Преобразования сетевых адресов (NAT) для всех запросов месту назначения 192.168.1.101:44447.
iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.101 --dport 44447 -j ACCEPT
Это правило дополняет предыдущее правило путем обеспечения, что запрос передается к этим 192.168.1.101 хостам.
iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
Это управляет государствами, что, когда это видит, SYN отмечает только в пакете TCP, это зарегистрируется, "Проникновение" до 6 раз в час (благодарит Gilles за вызов). Это обычно делается, чтобы помочь администратору обнаружить сканирования сети Stealth. Это для всех tcp входящее к хосту.
iptables -A FORWARD -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
Это совпадает с вышеупомянутым, но для всех пакетов TCP, предназначенных к другим хостам, которые находятся позади этого, размещает NAT, для которого оно может делать некоторый перевод.
iptables -A INPUT -i ppp33 -j DROP
Это - правило, которое все охватывает. Если Вы видите любой другой трафик, который предназначается для этого хоста И не выполняет вышеупомянутые правила, ОТБРАСЫВАЕТ соединение.
iptables -A FORWARD -i ppp33 -j DROP
То же как предыдущее правило, но соединения ОТБРАСЫВАНИЯ для чего-либо, что может быть передано на другую машину, которой может передать эта машина.
Можно отладить проблему как это путем запущения скрипта запуска более подробным способом.
$ bash -x service policyserver start
Вы могли бы хотеть получить этот вывод к файлу журнала также.
$ bash -x service policyserver start |& tee policyserver_startup.log
Можно затем пройти файл журнала и видеть, какая команда перестала работать.