iptables/firehol blokere international trafik på UDP port 27015

Hej eksperter.

jeg har en velbesøgt counterstrike server, desværre trækker den en hel del international trafik.

Jeg forestillede mig at jeg kunne blokere UDP port 27015 for alle andre end dixpeers, men når jeg kigger i loggen kan jeg se at internationale ip´er kan connecte via højere porte. fx. port 65101

Uden at være en haj til tcp/udp går jeg ud fra det skyldes den måde udp-protokollen hænger sammen på. (kan nogen forklare det nærmere ?)

mit firehol script virker ok, jeg kan se alle de som connecter på default port 27015 er dixpeers, dog vil jeg gerne slippe af med alle de høj-port internationale connections.

Nogen der kan hjælpe her ? eller komme med alternativer til hvordan man begrænse international trafik på CS1.6-servere.
(har prøvet geo-mod plugin, uden held)

min firehol.conf ser således ud:

        server ident reject with tcp-reset
        server custom cs udp/27015 default accept src "$DIXPEERS"
        server custom cs udp/27010 default accept src "$DIXPEERS"
        client all  accept
        server any nolog drop
        client any nolog drop

200 point for dette lidt obskure problem.