[fli4l] eingeschränktes Portforwarding in 3.10
Christoph Schulz
fli4l at kristov.de
Fr Mär 27 13:21:08 CET 2015
Hallo!
Stefan Puschek schrieb:
> wenn ich die EINGEHENDEN Pakete nicht filtern kann, dann mache ich das
> eben bei den AUSGEHENDEN Paketen: ich will einem Host der NICHT zu
> sipgate.de (also den DNS-Namen angeben an Stelle der IP) gehört garnicht
> antworten - soll er doch ewig auf eine Antwort warten :)
>
> würde das gehen - rein technische Frage ???
Schwierig, aber nicht unmöglich. Denn eine Regel wie
PF_FORWARD_x='any:10000-10100 !@sipgate.de DROP'
ist sicherlich nicht das, was du willst. Denn du möchtest ja mit anderen
Hosts kommunizieren (also auch antworten), nur nicht bei VoIP-Paketen.
Willst du das allein an den Ports ausmachen? Dann könntest du u.U. keine
http-Verbindung nach außen aufbauen, wenn dein lokaler Rechner als Quellport
zufällig 10000 auswählt. Somit müsste man mit Connection Tracking,
Connection/Firewall Marks etc. arbeiten. Nicht unmöglich, aber sicherlich
auch nicht trivial.
Viele Grüße,
--
Christoph Schulz
[fli4l-Team]
Mehr Informationen über die Mailingliste Fli4L