Ich stehe etwas auf dem Schlauch.
Hinter meiner Fritzbox (macht NAT und ein wenig Portforwarding für VPN und VOIP) steht ein Server(routet zwischen 3 subnetzen, kein NAT) mit iptables firewall. Für incomming WAN (also von der Fritzbox) habe ich folgende Regeln definiert:
1. chain=forward action=accept connection-state=established,related in-interface=ether1-WAN out-interface=!ether1-WAN
2. chain=forward action=drop in-interface=ether1-WAN log=yes
Und in dem log tauchen einige wenige Pakete auf, die offensichtlich Antwort-Paket mit genatteten Ports sind:
forward: in:ether1-WAN out:B78-Intern proto:TCP(RST), 173.194.113.34:443->192.168.78.36:61012, len 40
Wie kann das sein?