stimmte allerdings nicht, Antworten auf Http request werden einem von vielen Seiten auf registered Ports geschickt, was nach meine Verständnis der Seite aber alles auf dynamic Ports gehen sollte.
Du verwechselst hier grad Server und Client. Die dynamic Portrange kann dir sowas von egal sein, wenn du nach dports (destination ports) filterst. Auch Antworten sind dir egal, weil die frühstückst du über die Status RELATED und ESTABLISHED ab.
Wenn du natürlich die Hälfte der Statements aus meinem Beispiel verwirfst, ist mir schon klar, warum du Probleme hast.
UDP interessiert mich nicht oder kann man irgendwie mit UDP Anfragen auf Dienste schließen die TCP erwarten?
Mitunter. HTTP kann über UDP ausgeliefert werden, und QUIC läuft glaub auch auf 80 bzw. 443.
Und obs dich interessiert oder nicht ist völlig Banane, eine Firewall hat JEDEN Fall abzudecken, weshalb ich dir ja auch oben im Beispiel Traffic ohne Log verworfen habe, und anderen erst nach Logging.
Mal nebenbei: Bei mir läuft ne Firewall nach obigem Schema, die 4 Netze (bald 5) trennt. Ich hab sie im Querschnitt genau so wie oben beispielhaft beschrieben gebaut (nur etwas komplexer), und hab genau null Probleme mit Traffic, den ich nicht haben will. Ich logge recht ausführlich (in ca. 40 versch. Logs), es funktioniert also so wie ichs dir sag.
Poste mal dein GESAMTES Script, dann kann ich da mal drüber korrigieren und optimieren, nicht nur einzelne Snippets - ich weiß nämlich weder, was du davor machst, noch, was du danach machst. Wenn dann irgendwas nicht funktioniert, kann ich dir nur sagen, dass dieses Snippet das tut, was es soll - nicht, ob überhaupt Pakete dort ankommen und welchen State die haben. Das ist Code, keine Konfigurationsdatei.
ort-1 --syn -j LOG --log-prefix iptables: