Celem rutera wewnętrznego jest ochrona sieci wewnętrznej przed Internetem i przed naszym własnym hostem bastionowym. Ruter wewnętrzny do obsługi opisanej konfiguracji potrzebuje poniższych reguł (wyjaśnionych pod tabelą): uter zewnętrzny ma dwa zadania:

połączyć sieć peryferyjną (a za jej pośrednictwem sieć wewnętrzną) ze światem zewnętrznym zabezpieczyć sieć peryferyjną i wewnętrzną przed światem zewnętrznym.

W wielu okolicznościach da się zrealizować tylko ten pierwszy cel, ponieważ często ruter zewnętrzny udostępnia i zarządza nim twój dostawca usług sieciowych. Niektórzy dostawcy nie mogą lub nie chcą konfigurować i obsługiwać reguł filtrowania pakietów w ruterze zewnętrznym (i nie mogą lub nie chcą tobie pozwolić na zrobienie tego samemu).

Różnice między regułami dla rutera wewnętrznego i zewnętrznego wynikają z roli hosta bastionowego. Host bastionowy znajduje się „na zewnątrz” rutera wewnętrznego (to znaczy po internetowej stronie rutera), ale „wewnątrz” rutera zewnętrznego (po przeciwnej do Internetu stronie rutera).

Jeśli możesz skonfigurować filtrowanie w ruterze zewnętrznym, powinieneś to zrobić. Dzięki temu wzmocnisz przynajmniej niektóre reguły filtrowania w ruterze wewnętrznym. W tym przykładzie ustawimy następujące reguły:

stosowana w naszej konfiguracji, ponieważ cały ruch między klientami wewnętrznymi a Internetem przechodzi przez sieć peryferyjną. Co więcej, znaczna jego część przechodzi przez serwery proxy w hoście bastionowym. Tylko Telnet, SSH i FTP są udostępniane w sposób, który pozostawia je względnie otwartymi. Usługi te można by lepiej kontrolować, stosując serwery proxy dla wszystkich protokołów.