jak umravnit firewall pro VOIP?

[Zdeněk Prchal]

> > Co s tím? Dosavadní řešení - vypnout na chvíli VOIP, aby firewall na tu
> relaci zapoměl, mě nijak neuspokojuje, to přece musí jít vyřešit lépe.
> >
> > Zdeněk Prchal
> 
> Že by se vykašlat na shorewall a seskládat si pravidla podle sebe.
> 
To nechci, shorewall se mi z mnoha důvodů líbí, jde v něm samozřejmě udělat i leccos přímo na míru. Spíš mě jde o princip - jak zabránit, aby se takové pakety (z adresou z lokální sítě, na kterou nemůže z internetu přijít odpověď) vůbec dostaly v conntracku do stavu RELATED, ESTABLISHED, podle dokumentace by to vlastně snad ani nastat nemělo? :

       --state state
              Where state is a comma separated  list  of  the  connection
              states  to match.  Possible states are INVALID meaning that
              the packet could not be identified for  some  reason  which
              includes  running out of memory and ICMP errors which don't
              correspond to any  known  connection,  ESTABLISHED  meaning
              that  the  packet is associated with a connection which has
              seen packets in  both  directions,  NEW  meaning  that  the
              packet  has  started a new connection, or otherwise associ‐
              ated with a connection which has not seen packets  in  both
              directions, and RELATED meaning that the packet is starting
              a new connection, but is associated with an  existing  con‐
              nection, such as an FTP data transfer, or an ICMP error.

Leč nějak se tam dostanou.
Nelíbí se mi posílat do veřejné sítě pakety s adresou z lokální sítě - pokud nastavím při zavádění systému, ještě předtím, než se spustí síť, do firewallu pravidlo, které ve FORWARD chainu takové pakety zablokuje, neměly by se snad do conntracku dostat, nebo se mýlím?

Zdeněk Prchal