"Fura, hogy a bejövő ágon csak a tcp csomagokkal foglalkoztunk."
Mivel az én hzzászólásomra válaszoltál, jelzem, hogy én is megemlítettem a második változat javára a RELATED által lekezelt kapcsolódó ICMP forgalmat. Természetesen fontos.
"a state helyett használjuk a helper modult."
De akkor feltennék én is egy kérdést. A kérdés általános is lehetne, de a szemléltetés miatt maradjunk az FTP-nél. Mennyiben érzed biztonságosabbnak az FTP esetében a helper match használatát a RELATED-del szemben? Ha jól sejtem, az FTP esetében a helper munkájának hatására kerül rá a RELATED címke az adatcsatorna forgalmára, mint ahogy a helper match is az adott helper által kezelt RELATED-nek minősülő forgalomra illeszkedik. Van-e valahol olyan pont, ahol anélkül válhat RELATED-dé egy TCP session, hogy azt ne a felelős FTP helper illesztette volna rá a meglévő kontrollcsatorna forgalmának tartalma alapján? Én úgy érzem, a háttérben ugyanaz van mindkettő mögött ebben a konkrét esetben.
A topiknyitó viszont nem kizárólag az FTP-t szeretné engedni, hanem a TCP forgalmat. Amibe viszont más protokollok is beletartoznak. Jobbnak gondolod mindegyiket külön-külön felsorolni helper match-csel, minthogy egy közös RELATED legyen?
A félreértések elkerülése végett: nem az általad vázoltak működőképességét vagy jóságát vitatom, csak az eredeti kérdés, ti. a biztonság okán az kimenő FTP kapcsolathosz tartozó TCP forgalom input irányú szűrésének kétféle megközelítését szeretném összevetni.