De jó ötletet adtál:
- conntrack csak UDP és ICMP-nél.
- tcp esetén pedig syn szűrés
Ez így talán takarékosabb lesz. Ki is próbálom az OpenWRT-s cuccban.
ip6tables -A FORWARD -p udp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
ip6tables -A FORWARD -i br-lan -j ACCEPT
ip6tables -A FORWARD -i pppoe-wan -p tcp ! --syn -j ACCEPT
ip6tables -A FORWARD -j REJECT
Kérdés, hogy ez esetben a conntrack csak UDP-re tölti az IP:PORT táblázatot, vagy TCP kapcsolatok esetén is?