On Mon, Jun 15, 2015 at 05:54:56PM +0700, Eugene Grosbein wrote: > On 15.06.2015 17:51, Slawa Olhovchenkov wrote: > > On Mon, Jun 15, 2015 at 01:46:14PM +0300, Sergey Rudenko wrote: > > > >> Что нужно тут по моему все поняли - Откуда запрос пришёл туда должен > >> уйти. Это без проблем реализуется на фаерволе. Но если инициировать > > > > Дети! Запомните: IP -- stateless протокол. По этому в общем случае (по > > крайне мере без серьезного DPI) правило "откуда пришел запрос -- туда > > уходит ответ" реализовать нельзя: в пакете нет признака ответом на что > > он является. Если кто зациклился на TCP, то ему стоит напомнить про > > UDP, ICMP и прочие прелести. А так же о том, что ICMP бывает ответом > > на TCP/UDP. > > С другой стороны, часто вопрос типа исходного задаётся в контексте > роутера с NAT, а вот в NAT уже появляются стейты и из них обычно > можно вытянуть информацию о том, ответом на что пакет является. >
NAT, очевидно, подразумевает DPI. дальше вопрос в качестве NATа (ну и DPI соответсвенно).
