[mdk-re] connection tracking in firewall

[Serg]

Доброго времени суток!
Хочу сделать вторую попытку задать свой вопрос, ибо первая явно не удалась (что-то с кодировкой было), за что прошу прощения.
Так вот, недавно решил попробовать установить новый файрвол с использованием сабжа. Поначалу вроде все нормально было, но при просмотре логов заметил следующую странную вещь: некоторые пакеты с портом отправителя 80 и 53 не всегда проходили через файрвол (причем пакеты принадлежали уже установленному соединению, да и флаг ACK в них стоял), хотя первым правилом в цепочке INPUT было --state ESTABLISHED,RELATED  -j ACCEPT. Кроме того в бровзере не все сайты открывается с первого раза и именно ответы от этих серверов и падают в лог. Что касается DNS то ответы на запрос сервера (стоит на той же машине что и файрвол) опять не всегда проходят.
Кто-то рекомендовал поставить отдельно ESTABLISHED и RELATED, но на мой взгляд это лишено всякого смысла, хтя возможно я неправ.
Буду рад услышать любые мнения.

-- 
Sergey V. Juriev	"Radio ROKS-M"	mailto:serg на roks.com