Firewall // src port

    Hallo und servus... :)

    ...eigentlich bin ich ja bisher ernsthaft begeistert von der 2.3 EFW.

    Allerdings frage ich mich, ob und wenn wie es möglich ist, bei Firewall Regeln auch den Quellport angeben zu können.

    Von unseren bisherigen Firewalls war ich es gewohnt, Regeln zu setzen à "src ip/net src port dst ip/net dst port"

    ...via Google bin ich auf eine Modifikation gestoßen, die aber nur speziell den "outgoingfw" -Teil behandelt, patched. Und damit lässt sich dann auch "nur" aus dem dst port ein src port machen - nicht beides gleichzeitig.

    Iptables grundsätzlich können ja die dollsten Dinge - und src + dst port gehört natürlich zu den basics.


    Hat hier jemand von euch Ideen?

    Siehe Beispiel... (syslog)

    access-list outside_access_in permit udp object-group syslog-host eq 514 object-group Syslog-Server_ref eq 514


    ...quasi, wenn ich zwar auf dem Ziel, in diesem Bsp syslog services, erreichen will, aber gleichzeitig sicher stellen möchte, dass auch nur Anfragen VON einem syslog-daemon ((src) port 514) durchkommen. Könnte ja jeder kommen...

    Um deine Frage anders zu beantworten:

    Es gibt Fälle, in denen man den Quellport WEISS, und dieser "statisch" ist und bleibt... also warum nicht die Regeln enger schnüren?
    ..und sei es nur, wenn man zB sagen möchte: alle ports > 1023

    Das ist mit Sicherheit der richtige Weg...

    ..neben den restlichen Eindrücken, die ich über den heutigen Tag gesammelt habe, fällt die Wahl für mein Projekt allem Anschein nach auf die Lösung von "Vyatta" ... OSPF Unterstützung von Haus aus dabei, deutlich mehr Aktualität für die "Community Variante" und deutlich bessere Möglichkeiten für die Konfiguration der Firewall als solche.