> Established это свойство TCP протокола.Не совсем. Выше, в постановке задачи, слово established было употреблено в контексте iptables, то есть это ключевое слово синтаксиса, которое соответствует чему-то там в реальности. И, я отмечу, что оно было употреблено в примере, постановка проблемы звучала так
> Сервер А должен иметь возможность устанавливать соединение с сервером В.
> Но сервер В не должен иметь возможности коннектится к серверу А.
Человеку не нужен established, сам по себе, ему нужно чтобы коннекты проходили только в одну сторону.
> Его просто нет в udp и quic.
> Состояние о сессии зашифровано внутри TLS 1.3 и промежуточный сервер не
> имеет доступа к этим данным. By Design!
Дык в https состояние сессии тоже зашифровано. Уровень сессии в OSI -- это ведь про 404 Not Found, 301 Moved Permanently и тому подобны штуки, так? Ты ведь об этом?
> т.е. нам рисуют следующую архитектуру будущего: полное отсутствие пограничных/промежуточных
> файрволов и концепции dmz. Только файрволы точка-точка на начале и конце
> маршрута. Это АД и Израиль!
Если это действительно так, то я всеми руками за. Задача провайдеров передавать пакеты, а не фильтровать их. Но проблема в том, что это не так. Разработчики сайта, если хотят фильтровать, вполне могут поставить nginx в режиме reverse proxy и фильтровать им. Или даже запилить что-нибудь попроще nginx, что расшифрует, и пустит внутрь сетки расшифрованный трафик, чтобы дальше уже его фильтровать или маршрутизировать чем угодно. Я не вижу непреодолимых проблем. В корпоративных сетях, где сидят пользователи, которых надо фильтровать, может быть сложнее всё, но в корпоративной сети ты можешь внедрить свои сертификаты клиентам в принудительном порядке, и дальше врезаться в QUIC очень глубоко, имея не меньший доступ к кишочкам потоков, чем агенты на концах quic-соединения.
Да, всё это потребует перетряхивания существующих инструментов, и даже разработки новых. Ну и отлично. Повод избавиться от старпёров в среде админов.
