Andreas Pakulat schrieb: >>Generell ist die Angabe
eines Sourceports in einer TCP-Regel fast immer sinnfrei.Wieso dass? Wenn ich z.B. verhindern moechte das bestimmte Dienste nach aussen angeboten werden ist der sport ja doch die einzig sinnvolle Moeglichkeit bei tcp oder?
Nein, das wäre der --dport in der INPUT chain. Wenn Du --sport in der OUTPUT chain nutzt, kommen Pakete zu diesem bestimmten Port unbeschadet rein, aber auch wieder raus weil die Verbindung durch das reinlassen bereits ESTABLISHED ist (sein müsste(?)). -- Mit freundlichen Gruessen Bjoern Schmidt