Ну понятно, что синтаксис роляет, а для широких масс может оказаться очень весомым аргументом или даже непреодолимым препятствием (см. популярность pf или претензии к птичьему языку таблесов). Но для познавшего дао специалиста типа меня или тебя (какая разница, си или паскаль, ipfw или iptables, одна и та же хрень за ними стоит) это второстепенная вещь, лучше сначала обсудить семантику, чтоб предметнее, на каких угодно примерах псевдокода, конкретный синтаксис можно обсуждать потом. Я, собсно, это хотел сказать прошлым комментом.
> (ну как в примере к nftables -- мне не нравится)
Кстати, расскажи чем. Оно C-style а-ля Juniper-like или nginx-like, что уже есть шаг вперед от традиционных файрволов. Если первый блин комом, ошибки-то можно и учесть.
> или вообще просто разделяются, если я хочу вначале влепить permit any any
Я либо этот синтаксис не понимаю, либо какой смысл лепить в начало разрешение всего всем, оно ж остальные правила отменит.
Собсно, ты, я так понимаю, спец по цискам. Меня интересует, какой там packet flow в плане имениея нескольких аклей сразу, и т.п., ну по типу как я для ipfw в свое время рисовал. Поскольку multiple rulesets в ipfw изначально цискофилы и хотели.
no subject
> (ну как в примере к nftables -- мне не нравится)
Кстати, расскажи чем. Оно C-style а-ля Juniper-like или nginx-like, что уже есть шаг вперед от традиционных файрволов. Если первый блин комом, ошибки-то можно и учесть.
> или вообще просто разделяются, если я хочу вначале влепить permit any any
Я либо этот синтаксис не понимаю, либо какой смысл лепить в начало разрешение всего всем, оно ж остальные правила отменит.
Собсно, ты, я так понимаю, спец по цискам. Меня интересует, какой там packet flow в плане имениея нескольких аклей сразу, и т.п., ну по типу как я для ipfw в свое время рисовал. Поскольку multiple rulesets в ipfw изначально цискофилы и хотели.