фаервол и направления

[vddav]

есть такая схема

Приоритет   Сеть               Порт   Направление
300           0.0.0.0/0           0   Интернет      
1000         11.22.33.44/32   0   TV

задача - есть абоны, которым надо только айпитв, интернет надо заблочить.
при такой схеме, при создании тарифа не указывая скорость в первом направлении создается пайп в первом направлении.
при просмотре nofire есть строка

    #  Если у направления не указана скорость - трафик направления попадает в пайп 1го направления

получается что 0.0.0.0/0 надо перенести во второе направление а тв на первое, но тогда в фаерволе трафик всех пользователей пойдет через еще одно правило + надо переделать все тарифы - как бы не очень вариант.
вопрос - что дает для чего нужен приоритет в указании направлений. и самое главное для чего такая конструкция что если не указана скорость все равно создается пайп и соответственно в 21 таблице есть ип клиента с айпитв. можно ли отключит это поведение и чем будет чревато? 

[cojiict]

створюєш тариф "TV" і виставляєш бажану пропускну здатність для твого напрямку "Входящая скорость 3","Исходящая скорость 3"
Добавляєш тариф клієнту і в відповідній таблиці до напрямку ствоюються пайпи.

Код:

ipfw table all list |grep table

Дивишся в яку таблицю попадають твої ІР

Код:

ipfw table all list |grep 'table\|10.102.0.20'

Підганяєш свій фаєр щоб дозволяти напрямок тільки тим хто є в таблиці і не забуваєш заборонити решті
щось приблизно таке:

Код:

ipfw add 1 allow ip from table 33 to 11.22.33.44
ipfw add 1 allow ip from 11.22.33.44 to table 33
ipfw add 1 deny all from any to 11.22.33.44

можно ли отключит это поведение и чем будет чревато? 

Для напрямку 1 ставиш швидкість 0.1

[vddav]

Для напрямку 1 ставиш швидкість 0.1

так правила для 1 направления идут первыми, трафик на тв попадает в маску 0.0.0.0/0 и соответственно будет  резать скорость на 0.1.
вы же предлагаете закинуть правила для второго/третьего направления в начало фаервола, что я считаю, не по фен-шую).
не понятно для чего сделали - если не указана скорость то ставим какое то дефолтное значение - я считаю что если в тарифе не указал скорость для какого то направления то и не надо создавать пайпы и добавлять ипы в таблицу. по такой логике надо интернет (маска 0.0.0.0/0) надо изначально ставить в последнее направление. получается что любой тариф создает пайп в первом направлении.
конкретно в моем случае я пришел к варианту  сделать отдельный влан, без инета ( к примеру серые айпи без NATа) только до тв и все. но в будущем могут быть пакеты тв или еще как то задействуются направления. плюс решение с отдельным вланом такое себе - т.к. до клиента нужно его настроить.