senghoo

当你想戒的时候你就发现戒不掉了。

@senghoo 如果配置规则的机器只是一个服务器，不是路由器之类的。上面你说的那些，效果上看来一样的。但是可能指定 in/out 再匹配时会不会减少一些负担得看 bsd 的相关实现了。这些就得靠其他大神解答了。

@dujiangbo bsd 的机制我也不是太熟悉，但是一般有 keep-state 或者 linux 下叫 ip_conntrack 这类东西后不需要再为回包建立规则。in 和 out 表示数据包的方向，有些情况下省略会是意想不到的结果，而且根据最小权限原则，还是留着。

keep-state 和你手工指定的方法也是不一样的。keep-state 只会放行已经见过的五元组（来源 /目的 IP 和端口以及协议），所以理论上 keep-state 比直接手工指定更安全。

1. ipfw 默认是禁止所有访问，除非配置了 net.inet.ip.fw.default_to_accept="1"
2. keep-state 选项自动建立一个反向的规则，也就是从客户端发来的包到服务器的请求可以被第一个规则匹配而放行，服务器返回回去的包被 keep-state 选项建立的规则匹配而放行。
3. 第二个规则看起来是允许服务器访问外部服务器的 80 端口，比如其他的 API 服务器等。和用户访问你无关。

@mmqc 总是追问可能是对方没有 Get 到你不愿意谈的点。至少我认为籍贯不是那么私密的话题，至少在同事之间是可以谈论的话题。如果确实不愿意谈，下次直接更明显点说我不想谈这个话题就可以了。对方应该只是想找个话题聊而已。

@mmqc 认同工作和生活分开。但是老家这种话题一般是破冰的很好的话题，一般是很少有带着恶意问的。

以前团队来了新人，都是从“老家是哪里啊。”之类开始谈话，寻找共同话题的。。一般是没啥恶意吧。

随便找个 x86 的笔记本就可以吧。。

镜像流量+ ntop