>Добрый день, решил поюзать PF на фре 5.4. Имею один каверзный вопрос
>- какой такой смысл есть у концепции "last matching rule win"
>при прохождении пакета по правилам фаера?
>
>Я вот этого никак не могу понять (в доках явно не указано,
>да и в примерах фичу не используют). Из-за этого использую все
>правила с приставкой "quick", что судя по всему не есть правильно.
>
>
>Кто знает секрет - отпишите плз. собсно в вопросе и есть ответ - к пакету применяется последнее правило которому пакет соответсвует.
block log all
pass in from $blah to ($ext_if) keep state
имхо получается просто и удобно и понятно))
правила quick полезны например чтоб не грузить ось обработкой большого кол-ва пакетов которые надо блокировать
block quick from ($int_if) to ($ext_if) port { 137, 139, 445 }
чтоб не распространять по инету виндосовские вирусы
возьмите в привычку: первым правилом писать block log all, а далее разрешать всё что надо _явно_ с указанием keep state (оно меньше ресурсов кушает, ибо пакеты установленного соединения не проходят по цепочке правил)
правила quick имхо применяются не часто - поправьте кто-нибудь если неправ, жто моя привычка такая))