Допустим, нам нужно разрешить трафик с хоста 192.168.1.52 (А) на 10.10.10.101 (B) таким образом, чтобы мы могли инициировать соединения с хоста A на хост B и получали ответы. Но наоборот с хоста B инициировать соединения не могли. Для этого нам нужно:

1. Разрешить трафик типа “forward” с хоста A на B.

2. Создать разрешающее правило для уже установленных соединений (“established”, “related”). В данном примере (скриншот) любые такие соединения разрешены.

3. Запретить явным конкретным правилом новые соединения (“new”) с хоста (B) на хост (А). Если есть окончательное запрещающее весь трафик правило - можно не создавать дополнительного.

Пример:

. Правило (6) здесь разрешает трафик forward с хоста А на B, правило (3) разрешает уже установленные соединения, а правило (15) запрещает весь forward-трафик. . При этом, правило для запрета новых соединений для сети хоста B (1) отключено, т.к. трафик и так режется правилом (15).