From 7cfea752609bf218e2c49e4cd022b84e7ee3ddd3 Mon Sep 17 00:00:00 2001
From: Sergey Matveev <stargrave@stargrave.org>
Date: Sun, 13 Nov 2022 15:24:04 +0300
Subject: [PATCH] =?utf8?q?=D0=9B=D0=B8=D1=88=D0=BD=D0=B8=D0=B5=20keep-stat?=
 =?utf8?q?e=20=D0=B2=20=D0=BF=D1=80=D0=B0=D0=B2=D0=B8=D0=BB=D0=B0=D1=85=20?=
 =?utf8?q?ipfw?=
MIME-Version: 1.0
Content-Type: text/plain; charset=utf8
Content-Transfer-Encoding: 8bit

Я никогда точно не понимал как именно обрабатываются правила в ipfw.
Всегда было ощущение недопонимания и неясности. Но это особо не мешало
всё равно выполнять им задачи на практике. Но когда есть и NAT и NAT64 и
IPsec, то всё равно не фига до конца ничего не понятно. Но это только
потому что я и не пытался разобраться раз и навсегда.

Вчера возник вопрос: а зачем я почти для каждого правила добавляю
keep-state, делая stateful firewall. Для исходящих соединений это
понятно зачем надо. Но если у меня правило вида:
    ipfw add allow tcp from any to "table(mein)" http keep-state
и весь исходящий от меня трафик разрешён, то какой смысл добавлять
какой-либо state? На выход всё разрешено, а на вход явно и так тоже.
В общем, убрал тьму эти keep-state-ов.
-- 
2.50.0