On Tue, Oct 18, 2011 at 01:24:21PM +0700, Eugene Grosbein wrote: > 18.10.2011 13:16, Victor Sudakov пишет: > > >>>> ну и типичная трясучка и фильтрация ICMP несколько смешна. > >>> > >>> IMHO неплохо, если stateful firewall будет в обязательном порядке > >>> пропускать нужное (для PMTUD etc). > >> > >> Ещё лучше, если firewall будет пропускать вообще весь ICMP, > >> возможно после rate-limit (стандартный antispoofing подразумевается). > > > > Такая точка зрения имеет право на существование, но не всегда > > приемлема по политическим соображениям. > > Ну и зря :-) > > > А мои примеры непонятных моментов в ipfw прокомметировать не мог бы? > > Оба изложены в Message-ID: <[email protected]> > > Я считаю комбинацию stateful firewall с NAT злом, приносящим больше проблем > чем решающим, > поэтому не пользуюсь и тонкостей не знаю. В случае с tag возможны просто баги > в ядре. >
По хорошему оно должно быть просто интегрированно изначально. Но это есть разве что в ASA, как побочный эффект
