>[оверквотинг удален]
>>allow tcp from any to хост_RDP dst-port 3389
>>- располагаясь до правила с divert, оно не принесет вреда так как
>>адрес назначения до divert еще публичный и оно работать на внешнем
>>интерфейсе до divert не будет
>
>Нет, вы определенно не обладаете должной мерой параноидальности :)))
>Пакет который МОЖЕТ пройти по этому правилу - это пакет из сети
>провайдера прямо во внутреннюю сеть. Может же провайдер смаршрутизировать пакетик от
>себя в вашу серую сеть? Конечно может :)) Так что никакого
>публичного адреса там не будет. Провайдер может, только только, можно еще до нат поместить правила
deny log logamount 1 ip from any to 192.168.0.0/16 in
deny log logamount 1 ip from any to 172.16.0.0/12 in
deny log logamount 1 ip from any to 10.0.0.0/8 in
>Но поскольку остальные пакетики на этот порт мы публикуем в нате,
>то это правило лишнее.
>Более того, в обратную сторону ответный пакет пойдет через нат.. и связь
>на этом прервется. Может с таком случае это правило тут безвредно?
>Нет, не безвредно.
>Его можно использовать чтобы задосить машинку с РДП. Это потенциальная "трудно-обнаруживаемая дыра".
>
>
>Вобщем размещать это правило до ната- безсмысленно и зловредно.
от того и говорилось чтобы поставить правило после ната
>
>>- располагаясь после правила с divert, пакет подпадает под правило и пропускается
>>
>>- при этом стоит заметить, что такой пакет после правила divert считается
>>все еще входящим для внешнего интерфейса.
>>- повторюсь или другое пропускающее правило.
>
>а тут это правило просто лишнее. все и так уже идет через
>правило нумер 65000.
цитирую.
"- повторюсь или другое пропускающее правило"