<div dir="ltr"><div><div><div>Doable on a router. You should block any packets with SYN set. Allowing RST is a possible DOS vector.<br><br></div>A firewall requires a duplex session to maintain state.<br><br></div>Kind regards<br><br></div>Paul Wilkins<br></div><div class="gmail_extra"><br><div class="gmail_quote">On 2 December 2016 at 13:51, Alex Samad <span dir="ltr"><<a href="mailto:alex@samad.com.au" target="_blank">alex@samad.com.au</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi<div><br></div><div>having a blonde moment.</div><div><br></div><div>I want to set an ACL to allow TCP streams through a firewall where there is asymmetric routing in place. So a stream that might be initiated via a different path, comes via this router mid stream</div><div><br></div><div>If I allow tcp packets that have ACK and/or RST. that should cover all packets in a tcp stream after the initial hand shake.</div><span class="HOEnZb"><font color="#888888"><div><br></div><div><br></div><div>Alex</div></font></span></div>
<br>______________________________<wbr>_________________<br>
AusNOG mailing list<br>
<a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>
<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" rel="noreferrer" target="_blank">http://lists.ausnog.net/<wbr>mailman/listinfo/ausnog</a><br>
<br></blockquote></div><br></div>