Veja como fica:
| regra | direção | ip_org. | ip_dst. | Proto. | porta_org. | porta_dst. | ação |
|---|---|---|---|---|---|---|---|
| A | in | externo | interno | TCP | >1023 | 25 | permite |
| B | out | interno | externo | TCP | 25 | >1023 | permite |
| C | out | interno | externo | TCP | >1023 | 25 | permite |
| D | in | externo | interno | TCP | 25 | >1023 | permite |
| E | ambas | qualquer | qualquer | qualquer | qualquer | qualquer | bloqueia |
Agora veja o comportamento das regras com este novo elemento:
| pacote | direção | ip_org. | ip_dst. | Proto. | porta_org. | porta_dst. | ação |
|---|---|---|---|---|---|---|---|
| 1 | in | 172.16.2.3 | 10.0.0.1 | TCP | >1234 | 25 | permite (A) |
| 2 | out | 10.0.0.1 | 172.16.2.3 | TCP | 25 | >1234 | permite (B) |
| 3 | out | interno | externo | TCP | >1245 | 25 | permite (C) |
| 4 | in | externo | interno | TCP | 25 | >1245 | permite (D) |
| 5 | in | 172.16.2.3 | 10.0.0.1 | TCP | 4321 | 6000 | bloqueia (E) |
| 6 | out | 10.0.0.1 | 172.16.2.3 | TCP | 6000 | 4321 | bloqueia (F) |
Como se observa, após a inclusão deste novo elemento de filtragem foi possível bloquear o ataque à porta x-windows.
Mas o que impede de alguém tentar abrir uma conexão na porta x-windows, 6000, usando como origem a porta 25?