Moin,

Das verstehe ich immer nicht. Ich muss doch einen ganzen Portbreich offen lassen, damit der Proxy überhaupt Antworten auf seine Anfragen empfangen kann?

Es gibt keine offenen und geschlossenen Ports, in dem Sinne wie hier erwähnt. Es kann ein Programm an einem Port lauschen, oder nicht. Und es kann sein, dass da ein Paketfilter vorhängt, der Pakete die an einen bestimmten Port gerichtet sind verwirft (bzw. besser abweist und dem Sender eine Fehlermeldung zukommen lässt) oder nicht.
Ziel sollte es sein, so wenig wie möglich Programme laufen zu haben, die an einem Port lauschen, möglichst gar keine. Aus Bequemlichkeitsgründen wird man aber wohl fast immer SSH an einem Port auf dem internen Interface lauschen lassen. Wenn du einen Proxy willst, lauscht der auch an einem Port (unbedingt nur auf dem internen Interface!). Das hat mit Paketfilter oder nicht erstmal nicht viel zu tun und es ist auch kein Paketfilter nötig.

Darüberhinaus kann es _manchmal_ sinnvoll sein, einen Paketfilter einzusetzen um gezielt Kommunikation zu verhindern, das kommt dann aber auf den Einzelfall an.

--
Henryk Plötz
Grüße aus Berlin