[fli4l] eingeschränktes Portforwarding in 3.10

[Stefan Puschek]

Hallo Christoph,
..
>> wenn ich die EINGEHENDEN Pakete nicht filtern kann, dann mache ich das
>> eben bei den AUSGEHENDEN Paketen: ich will einem Host der NICHT zu
>> sipgate.de (also den DNS-Namen angeben an Stelle der IP) gehört garnicht
>> antworten - soll er doch ewig auf eine Antwort warten :)
>> 
>> würde das gehen - rein technische Frage ???
> 
> Schwierig, aber nicht unmöglich. Denn eine Regel wie
> 
> PF_FORWARD_x='any:10000-10100 !@sipgate.de DROP'

eigentlich hatte ich das gemeint - aber...

> ist sicherlich nicht das, was du willst. Denn du möchtest ja mit anderen 
> Hosts kommunizieren (also auch antworten), nur nicht bei VoIP-Paketen. 
> Willst du das allein an den Ports ausmachen? Dann könntest du u.U. keine 
> http-Verbindung nach außen aufbauen, wenn dein lokaler Rechner als Quellport 
> zufällig 10000 auswählt. Somit müsste man mit Connection Tracking, 
> Connection/Firewall Marks etc. arbeiten. Nicht unmöglich, aber sicherlich 
> auch nicht trivial.

.. aber DARAN hatte ich noch gar nicht gedacht - also ist dieser Weg so nicht 
machbar - Schiet!!!

Danke für die Infos

Groetjes
Stefan