Потому что, как верно заметили в комментах, туда попадают пакеты и с in, и с out. Динамической правило срабатывает в обоих направлениях, и применяет действие из родительского правила (skipto). В описании это нарисовано на схеме "фрагмент ipfw_chk(): начало правила с keep-state".
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
timeasmymeasure
no subject
Date: 2008-10-31 06:28 pm (UTC)