방화벽 설정에 대한 몇가지 질문

안녕하세요.

귀사에서 출판한 책과 온라인강좌 덕분에 지금 방화벽설정부분까지 뚜져볼수있게 되었네요.

방화벽 부분을 현제 3번째로 읽어보고 또한 구글링도해서 기타 자료들도 찾아서 열심히 테스트해보고 있지만 지식의 잛아서 도무지 어떻게 해야 할지 엄두가 나지 않네요.

아래 질문이 좀 많습니다. 허락되시면 좀 답을 주셨으면 감사하겠습니다. 꾸벅.

1.

-----------------------------------------------------------------------------
# RFC 1918에 정의된 사설IP 및 공인 네트워크에서 라우팅 될수 없는 IP대역을 소스로 한
# 패킷이 서버를 향하는 패킷을 차단한다.

。。。。。。。。。。。。。。。。
$IPTABLES -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
。。。。。。。。。。。。。。。。
-----------------------------------------------------------------------------

이부분에서 192.168.0.0/16 구간에서 192.168.1.0/24 구간을 빼고 서술을 하려면 어떻게 해야하는지요?

현제 저의 네트웍구조는 서버를 공유기 아래에 사설ip로 연결을 해서 공유기에 포트포워딩을 설정을 해서 사용하고 있는데 위와 같은 설정으로 인해 LAN 구간의 컴퓨터를 이용해서 서버접근이 않되서 아예
$IPTABLES -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP 이룰을 빼고 적용을 하니 되더군요.
하긴 공유기에 설정된 공인ip로 방문을해서 포워딩되어 서버로 들어가면 될것같기도 한데...
사설에선 직접 사설ip로 방문을 하는것이 더욱 편할것같아서요.
현제 LAN구간의 사설ip범위는 192.168.1.0/24 으로 되어 있고요.

2.

--------------------------------------------------------------------------------------------------

# SSH 서비스를 이용하기 위해 211.47.64.0/24 대역에서 22번으로 향하는 초기(NEW)패킷을 허용한다.
$IPTABLES -A INPUT -i eth0 -p tcp -s 211.47.64.0/24 --sport 1024: --dport 22 -m state --state NEW -j ACCEPT

책 394p의 필자경험담에서
ddns를 이용해서 특정ip에서의 서버 접근만을 허용하는 방법
$IPTABLES -A INPUT -p -tcp -s office.no-ip.com -- sport 1024: --dport 22 -m state --state NEW -j ACCEPT

--------------------------------------------------------------------------------------------------------

위2개 룰에서 
A.

 211.47.64.0/24 대역과 특정ip 222.222.222.222 에 대해 접근허용하려면 어떻게 해야되는지요?
211.47.64.0/24 and 222.222.222.222 접근허용하려고 합니다.
$IPTABLES -A INPUT -i eth0 -p tcp -s 211.47.64.0/24,222.222.222.222 --sport 1024: --dport 22 -m state --state NEW -j ACCEPT
혹시 이렇게 하면 되는것인지요?
B.

ddns를 이용하는 방법에서 만약 office.no-ip.com 이외에 papa.no-ip.com 를 하나 더 추가 하려면 어떻게 해야 되는지요?
$IPTABLES -A INPUT -p -tcp -s office.no-ip.com,papa.no-ip.com -- sport 1024: --dport 22 -m state --state NEW -j ACCEPT
혹시 이렇게 하면 되는것인지요? 도메인 and 도메인.

C.
또한 이룰에서 office.no-ip.com 와 특정ip 222.222.222.222 그리고 211.47.64.0/24 대역 의 접근을 허용하려면
$IPTABLES -A INPUT -p -tcp -s office.no-ip.com,222.222.222.222,211.47.64.0/24 -- sport 1024: --dport 22 -m state --state NEW -j ACCEPT
이렇게 도메인과 ip 또는 ip구간을 혼용해서 룰 설정을 해도 되는지요?

3.

p-o-m 패치에서 psd patch 가 아쉽게도 없어졌다고 하는데 포트스캔방지를 위한 기타 대용방법은 어떤방법들이 있는지요?
4.

책에서 방화벽 예제가 3가지 즉 standalone 방화벽, NAT방화벽,브릿지방화벽 3가지 예제가 나와 있는데 NAT방화벽은 고정IP가 있다는 전제하의 룰 예제이더군요.
유동IP(pppoe)하에서의 NAT방화벽 룰은 많이 복잡한지요? 지식이 박약해서 어떻게 룰을 설정해야 할지 엄두가 나지 않네요.^-^

너무 많은 질문을 드려서 죄송합니다.