Я никогда точно не понимал как именно обрабатываются правила в ipfw.
Всегда было ощущение недопонимания и неясности. Но это особо не мешало
всё равно выполнять им задачи на практике. Но когда есть и NAT и NAT64 и
IPsec, то всё равно не фига до конца ничего не понятно. Но это только
потому что я и не пытался разобраться раз и навсегда.
Вчера возник вопрос: а зачем я почти для каждого правила добавляю
keep-state, делая stateful firewall. Для исходящих соединений это
понятно зачем надо. Но если у меня правило вида:
ipfw add allow tcp from any to "table(mein)" http keep-state
и весь исходящий от меня трафик разрешён, то какой смысл добавлять
какой-либо state? На выход всё разрешено, а на вход явно и так тоже.
В общем, убрал тьму эти keep-state-ов.