> Вот интересно - опенсорс дозреет когда-нибуть до нормального фаервола конца 90х годов прошлого
> века а-ля Cisco ASA? поправил, не благодарите. К сожалению, он его уже перезрел - был у нас почти такой, в те самые поздние 90е, ipchains называлсо. Некоторых приятных мелочей не хватало, но в общем уже не особо страдали им пользуясь.
> Идея - проста, незатейлива и вообще-то гениальна же...
расскажите, почему генитальная идея старательно калечит соединения по https на высокие порты? Причем каким-то образом ухитряясь в него влезть без каких либо явных и неявных указаний это делать.
(то есть помогает только полиси с _явным_ запретом вообще любых fixup'ов - а это непросто и неудобно, потому что глобальная политика у нас только одна, и она может быть уже чем-то занята)
Я видел эту проблему в 2007м, с версией хорошо если не 6, я видел эту проблему в 2016м с версией 9, я уверен что увижу ее если где-то украду и самую распоследнюю версию.
Ну и точно ли "нормальна" простыня правил без иерархии и с permit задом-наперед ?
Я вот не могу даже сказать, от чего больше блевать тянет - от циски с ее простыней и dnat задом-наперед, или от недоделанных iptables, где чего ни хватишься, ничего не доделано и уже не будет.
Ну, понятно, то и другое - прошлый век. В циске сегодня моден firepower, у л@п4-тых (запрещенные на опеннете безграмотные истерички) какой-то вообще нечеловекочитаемый трэшак непонятно для чего и кого.
bsd как всегда позади планеты всей, застряв не в 90х а где-то в 80х, откуда родом их ужасный синтаксис и простыни без структуры (но смотри не перепутай порядок правил!) - во всех трех возможных вариантах.