>Срабатывает первое подошедшее правило. Поэтому если ты разрешаешь своей сетке чего-нибудь особенное
>(например, обращение к некоторому сервису), то ты обязан до этого убедиться,
>что это действительно твоя сетка. Самый надежный путь - поставить deny
>для пакетов с обратным адресом твоей сетки, но пришедших с внешнего
>интерфейса.
Это правило для примера я имел ввиду что пакет соответствуючий этому правилу соответствует и правилу по дефолту побиш дубль правил  
>Вообще лучше первыми же правилами убить все заведомо вредные пакеты.
А с такой позичыей я согласен.

>Вообще лучше первыми же правилами убить все заведомо вредные пакеты.

Здраствуйте, позвольте не согласится, потому как на каждое правило есть его время на обработку... мое мнение - сначала разрешить все что можно(чтобы что надо не тормозилось на обработке), а потом убивать все то что вредное... хотя немогу не согласится, что при критичности к безопасности лутше будет сначала все убить лишнее и плохое, тут похоже выбор будет обусловлен скоростью канала, и требованием безопасности...
  ну сами посудите :) в банке же не будете все подряд пускать :) а для фирмы где только и работает что мускль да веб :) не будете на канале 64кбит/с обезопашивать так что скорость в половину погаснет :) думаю нет ...

  wbr, brahmann