>а поспорим?
>allow tcp from any to хост_RDP dst-port 3389
>- располагаясь до правила с divert, оно не принесет вреда так как
>адрес назначения до divert еще публичный и оно работать на внешнем
>интерфейсе до divert не будет Нет, вы определенно не обладаете должной мерой параноидальности :)))
Пакет который МОЖЕТ пройти по этому правилу - это пакет из сети провайдера прямо во внутреннюю сеть. Может же провайдер смаршрутизировать пакетик от себя в вашу серую сеть? Конечно может :)) Так что никакого публичного адреса там не будет.
Но поскольку остальные пакетики на этот порт мы публикуем в нате, то это правило лишнее.
Более того, в обратную сторону ответный пакет пойдет через нат.. и связь на этом прервется. Может с таком случае это правило тут безвредно? Нет, не безвредно.
Его можно использовать чтобы задосить машинку с РДП. Это потенциальная "трудно-обнаруживаемая дыра".
Вобщем размещать это правило до ната- безсмысленно и зловредно.
>- располагаясь после правила с divert, пакет подпадает под правило и пропускается
>
>- при этом стоит заметить, что такой пакет после правила divert считается
>все еще входящим для внешнего интерфейса.
>- повторюсь или другое пропускающее правило.
а тут это правило просто лишнее. все и так уже идет через правило нумер 65000.