On 15.06.2015 17:51, Slawa Olhovchenkov wrote: > On Mon, Jun 15, 2015 at 01:46:14PM +0300, Sergey Rudenko wrote: > >> Что нужно тут по моему все поняли - Откуда запрос пришёл туда должен >> уйти. Это без проблем реализуется на фаерволе. Но если инициировать > > Дети! Запомните: IP -- stateless протокол. По этому в общем случае (по > крайне мере без серьезного DPI) правило "откуда пришел запрос -- туда > уходит ответ" реализовать нельзя: в пакете нет признака ответом на что > он является. Если кто зациклился на TCP, то ему стоит напомнить про > UDP, ICMP и прочие прелести. А так же о том, что ICMP бывает ответом > на TCP/UDP.
С другой стороны, часто вопрос типа исходного задаётся в контексте роутера с NAT, а вот в NAT уже появляются стейты и из них обычно можно вытянуть информацию о том, ответом на что пакет является.
