Разбираю пример построения файра с участием DMZ и наткнулся вот на странное правило. Точнее, даже два правила, цитирую
#
# From DMZ Interface to DMZ firewall IP
#
$IPTABLES -A INPUT -p ALL -i $DMZ_IFACE -d $DMZ_IP -j ACCEPT
#
# From LAN Interface to LAN firewall IP
#
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_IP -j ACCEPT
То есть, он даёт полный доступ к гейту из дмз и локалки? Нахрена он это делает? Есть соображения? Может быть, я неверно понимаю смысл DMZ? В моём понимании, ДМЗ - это мешок, в котором сидят паблик сервисы. К которым ты можешь получать доступ из Сети/локалки. Но из самой ДМЗ ты можешь получить доступ только в Сеть, если разрешено. Я так понимаю, ломая машину с сервисом в ДМЗ, ты не попадаешь дальше ДМЗ, поскольку это мешок с одной дыркой. В этом случае неясно зачем давать полный доступ к гейту из ДМЗ. Видимо, я неверно понимаю. Что-то я запутался. Пните в нужном направлении, пожалуйста.