From: Sergey Matveev <stargrave@stargrave.org>
Date: Sun, 13 Nov 2022 12:24:04 +0000 (+0300)
Subject: Лишние keep-state в правилах ipfw
X-Git-Url: http://www.git.stargrave.org/?a=commitdiff_plain;h=7cfea752609bf218e2c49e4cd022b84e7ee3ddd3;p=stargrave-blog.git

Лишние keep-state в правилах ipfw

Я никогда точно не понимал как именно обрабатываются правила в ipfw.
Всегда было ощущение недопонимания и неясности. Но это особо не мешало
всё равно выполнять им задачи на практике. Но когда есть и NAT и NAT64 и
IPsec, то всё равно не фига до конца ничего не понятно. Но это только
потому что я и не пытался разобраться раз и навсегда.

Вчера возник вопрос: а зачем я почти для каждого правила добавляю
keep-state, делая stateful firewall. Для исходящих соединений это
понятно зачем надо. Но если у меня правило вида:
    ipfw add allow tcp from any to "table(mein)" http keep-state
и весь исходящий от меня трафик разрешён, то какой смысл добавлять
какой-либо state? На выход всё разрешено, а на вход явно и так тоже.
В общем, убрал тьму эти keep-state-ов.
---