АЗ
Не странно.. значит оно пропустило входящее на основе исходящего запроса, так как по умолчанию это stateful фильтрация
Size: a a a
2020 January 03
АЗ
Надо думать в сторону state less
D
так что же я все это време писал правила для стйтфулл фаервола ? =)))
АЗ
Stateful по умолчанию
D
а pf ведет таблицу соединений
D
аля nf_conntrack linux
АЗ
АЗ
В линуксе, кстати, попроще в этих ситуациях нахлобучить пакеты по определенным критериям
АЗ
Даже немного странно, что pf хотите использовать
АЗ
При имеющиемся рабочем варианте
D
тоесть мне надо обьяснить фаерволу что правило дропа надо использовать даже для отслеживаемых соедниений, которые уже прошли "проверку"
АЗ
Именно
АЗ
Лучше, чтобы он их не отслеживал вовсе
АЗ
Конкретно в вашем случае это играет не в пользу дела
D
ну тогда может использовать таблицу прероутинга а не входящих
АЗ
Ну я не про Линукс сейчас говорил
АЗ
В pf нет цепочек
D
вот кстати я удивился когда в мане увидел только in/out
АЗ
Потому что это дико удобно и со многих точек зрения правильно доверить файеру следить за соединениями
АЗ
Вам нужно пробовать приписывать no-state к правилам