Die Regel matcht nicht negativ. Sie matcht zunächst auf das erste Paket (SYN) - und zwar positiv, da das Paket ja weitergeleitet wird. Als Antwort auf ein SYN wird nun ein SYN/ACK erwartet. Wenn nun etwas anderes kommt, dann schlägt der Umstand zu, daß es sich um eine stateful inspection Firewall handelt, d.h. der falsche Zustand der TCP-Session (RST/ACK) fürhrt zur Meldung - und das ist genaugenommen ein Bug, denn das RST/ACK sollte eigentlich ganz normal durchkommen und nicht gemeldet werden...Warum matcht eine ALLOW-Regel negativ und warum überhaupt, wenn ein System nicht antwortet?
Gruß
Backslash