Минимальный набор правил фаервола, ничего лишнего и в то же время полная защита от ненужных подключений. Здесь ether2 — внешний интерфейс, 192.168.1.0/24 — локальна сеть, 45000 — порт торрента.

Разрешаем пинги

add chain=input
action=accept
protocol=icmp
add chain=forward
action=accept
protocol=icmp

Разрешаем установленные подключения

add chain=input
action=accept
connection-state=established
add chain=forward
action=accept
connection-state=established

Разрешаем связанные подключения

add chain=input 
action=accept 
connection-state=related
add chain=forward 
action=accept 
connection-state=related

Разрешаем все подключения из нашей локальной сети

add chain=input 
action=accept 
src-address=192.168.1.0/24 
in-interface=!ether2

Разрешаем входящие подключения для торрента

add chain=forward action=accept protocol=tcp in-interface=ether2 dst-port=45000

Обрубаем инвалидные подключения

add chain=input
action=drop
connection-state=invalid
add chain=forward
action=drop
connection-state=invalid

Обрубаем все остальные входящие подключения

add chain=input 
action=drop 
in-interface=ether2

Разрешаем доступ из локальной сети в интернет

add chain=forward 
action=accept 
in-interface=!ether2 
out-interface=ether2

Обрубаем все остальные подключения

add chain=forward 
action=drop