Agora considere o caso de alguém respondendo este e-mail. O cliente localizado na rede interna possui o IP 10.0.0.4 usando a porta 1245 vai responder para um usuário que possui conta no servidor 172.16.2.1 porta 25:
| pacote | direção | ip_orig. | ip_dest. | Protocolo | porta_dest. | ação |
|---|---|---|---|---|---|---|
| 3 | out | 10.0.0.4 | 172.16.2.1 | TCP | 25 | permite (C) |
| 4 | in | 172.16.2.1 | 10.0.0.4 | TCP | >1245 | permite (D) |
Neste caso as regras do roteador permitem a saída dos pacotes de e-mail:
A regra C permite que o cliente 10.0.0.4 envie o e-mail para o servidor 172.16.2.1.
A regra D permite que o servidor 172.16.2.1 responda ao cliente 10.0.0.4.
Agora suponha que alguém localizado em uma rede externa, 172.16.2.3, usando a porta 4321 tente abrir uma conexão no servidor 10.0.0.1 na porta de x-windows, 6000:
| pacote | direção | ip_orig. | ip_dest. | Protocolo | porta_dest. | ação |
|---|---|---|---|---|---|---|
| 5 | in | 172.16.2.3 | 10.0.0.1 | TCP | 6000 | permite (D) |
| 6 | out | 10.0.0.1 | 172.16.2.3 | TCP | >4321 | permite (B) |
Neste caso as regras do roteador comportam-se da seguinte forma:
As regras A e B permitem a entrada de pacotes SMTP.
As regras C e D permitem a saída de pacotes SMTP.
Já as regras B e D permitem qualquer conexão que utilizem portas >1023.
É isso mesmo que quer?
NÃO! Para contornar esta situação deve agregar mais um elemento às regras: a porta de origem. Veja a seguir.