поддерживать попытки перехода на личности - не, не возбуждает

в вашем варианте "технарь", это квалификация и умение делать то, что не хотят делать пацаны с деньгами, то, за что терпят дурной характер "этого люмпена" и отвёрнутую в сторону недовольную рожу, и кидают подачку в виде зряплаты ? ради этого вы предлагаете учиться новому ? прямо морлок какой-то вами нарисован в ряду прочих электриков и джамшутов. Думаю, какой то уровень литератора и благородной девицы в вас тоже должен присутствовать. впрочем личное дело каждого, имеете право жить как хотите

> Мне почему-то всегда казалось, что энфорсинг политик - задача именно файрвола. Для
> меня загадка природы почему для работы которую обязан делать файрвол надо
> пытаться прикрутить левый костыль, да еще и вещать что так и
> надо. А это ничего, что такой же набор правил, но чисто
> на фаерволе а не нате - как-то естественнее и менее костыльно
> смотрится? Т.е. на фаере это будут те же самые рулезы, только
> левый хакинг заголовка с подменой адресов будет ОТСУТСТВОВАТЬ. Единственное глобальное
> отличие.

ключевые слова здесь - "для меня загадка". вы по определению имеете отформатированный мозг, или прикидываетесь ? Я думаю, что прикидываетесь

> Что за глупости? Нат всего лишь (и то не всегда) обладает свойствами
> похожими на stateful файрвол. Более того, в линухе вообще одно и
> другое рядом стоят и часто юзаются совместно. Вся глобальная разница -
> в том, что в случае ната еще и хидер айпи-пакета до
> кучи на ходу хакается, чтобы интранетовые машины надурить. Хакинг протокольного хидера
> на ходу ессно костыли и кривизна, без вариантов.

много умных слов написали, но на забойные аргументы они тоже не тянут

> - Во первых, сканить 2^64 айпишников - очень неперспективная задача

ничо, правильные парни в погонах напрягутся. Тут важнее, что просто составляется карта ваших хостов - хто и куда ходиль. Понимаете о чём речь - не одна IP будет видна, а всякая, который куда то лез. Достаточно просто поставить слухач у провайдера, да он и так там стоит. Это не сканирование перебором, это сканирование для детального сбора информации о вашей домашней сети, например

> - Во вторых, файрволы никто не отменял и можно сделать stateful firewall

наверно понятно, что сетевой фильтр от описанного сканирования не поможет никак

> давят все лишнее и на вход и на выход и заворачивают
> хттп траф через прокся

фидишь ли, Юра ... вот например взять сквид, насколько я помню там с какой то версии возможность убрать инфу о клиентском IP (не проксика, а именно клиента, доступную отдельной переменной серверу) просто исключили. Понятно для чего это было сделано, это момент технический, и вытащить инфу о клиенте вполне можно. Разве что пытаться строить цепочки проксиков. Но вот здесь как раз костыль, да и работать это будет не всегда

> А нат сам по себе
> всего лишь гнусный хак протокольных заголовков. Кривое и горбатое решение, ломающее
> исходно задуманную логику протокола и вызываюшее глюки у массы софта и
> порождающее массу проблем.

ну ну. вам конечно с высоты вашего практического опыта виднее. или теоретического ?

> ИМХО единственные реальные трудозатраты - в запоминании более длинных адресов

вот это как раз образец убойного технического аргумента ? имхо глупости, для запоминания адресов давно придуман сервис - называется он DNS