ipfw + динамические правила

[kyptuk]

Вопрос о динамических правилах.

Кусок мана ipfw:

Код: Выделить всё

     check-state
	     Checks the packet against the dynamic ruleset.  If a match is
	     found, execute the action associated with the rule which gener-
	     ated this dynamic rule, otherwise move to the next rule.
	     Check-state rules do not have a body.  If no check-state rule is
	     found, the dynamic ruleset is checked at the first keep-state or
	     limit rule.

При отсутствии check-state правила - как себя ведет ipfw?
"the dynamic ruleset is checked at the first keep-state or limit rule."

Как он проверяет по первому правилу? Меняя местами from и to? Или как?
И если условие под первое правило с keep-state не подходит, а под второе подходит - как в этом случае будет?
Кто пояснить может?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[FreeBSP]

читаем ман
секции стейтлесс и стейтфул

[терминус]

Любое правило с keep-state по-умолчанию включает в себя неявный вызов check-state.
http://nuclight.livejournal.com/124348.html

[kyptuk]

Спасибо, явный ответ на вопрос никто не дал, но по ссылке нашёл такие ответ на свой вопрос

Чтобы пакеты соединения в обоих направлениях подпадали под одно и то же
динамическое правило, направление в нем не учитывается — то есть, должен
совпасть протокол и обе пары адресов и портов, но пары можно менять местами