https://www.opennet.ru/openforum/vsluhforumID10/4009.html Здравствуйте, я задался целью сделать на FreeBSD 7.0 PF с поднятым NAT с ограничением доступа ко внешним ресурсам используя для этого внутренние IP адреса. Т.е. правила фильтра будут строятся по примерно следующему принципу: <br><br>$ext_if="de0" (1)<br>$int_if="de1"<br><br>$trusted_lan="192.168.1.0/24" (3)<br><br>table &lt;web&gt; {213.180.204.8 и тд.} <br><br>nat on $ext_if from $trusted_lan to any (5)<br><br>block all<br><br>pass out on $int_if proto {tcp,udp} from 192.168.1.5 to &lt;web&gt; (7)<br><br>Основная проблема заключается в том что pf сначала обрабатывает правила NAT (5), а только затем правила фильтра (7), поэтому последнее правило (7) не справедливо т.к. пакет уже обработан и его заголовок заменён с адреса 192.168.1.5 на адрес внешнего интерфейса, а именно на то что назначено de0 (1).<br><br>Собственно, как можно организовать используя pf доступ ко внешним ресурсам ориентируясь по внутреннему ip или внутреннему dns имени?<br> https://www.opennet.ru/openforum/vsluhforumID10/4009.html#3 Fri, 10 Oct 2008 04:16:07 GMT &gt;[оверквотинг удален]<br>&gt;pass in on $int_if proto icmp from &lt;web&gt; to 192.168.1.5<br>&gt;pass out on $int_if proto icmp from 192.168.1.5 to &lt;web&gt;<br>&gt;<br>&gt;И ничего... пинг с узла 192.168.1.5 на узлы &lt;web&gt; не идёт (естественно с узла 192.168.1.5 вводится ip адрес,а не имя хоста т.к. dns в данном примере не разрешён.)<br>&gt;PS: этот конфиг конечно упрощенный, но и с ним не работает так <br>&gt;как мне нужно. Поэтому, я повторю вопрос: <br>&gt;Как можно организовать, используя pf c NAT, доступ ко внешним ресурсам ориентируясь <br>&gt;по внутреннему ip или внутреннему dns имени? <br>&gt;PSS: конфигурация сети простая, один интерфейс смотрит во внешнюю, другой во внутреннюю <br>&gt;сеть. <br><br>Конфиг у Вас не работает потому что написан неправильно. Нужно понять логику работы pf и как пакеты ходят.<br><br>Например когда Вы хотите пингануть что-нибудь во вне пакет из внутренней сети приходит на внутренний интерфейс ( т.е. он входящий на внутреннем интерфейсе ) потом к нему применяется правило nat, и затем он он должен уйти с внешнего интерфейса ( если правила https://www.opennet.ru/openforum/vsluhforumID10/4009.html#2 Thu, 09 Oct 2008 15:39:32 GMT &gt;Если это весь набор правил то работать вообще не будет, потому что <br>&gt;правилом block all блокируется весь входящий трафик на внутренний интерфейс и <br>&gt;весь траффик на внешнем интерфейсе. <br><br>Я рассматривал такую возможность ещё до того как задать вопрос на форуме, применял различные подробно расписанные конфиги вроде этого:<br><br>$ext_if="de0" (1)<br>$int_if="de1"<br>$trusted_lan="192.168.1.0/24" (3)<br>table &lt;web&gt; {213.180.204.8 и тд.}<br>nat on $ext_if from $trusted_lan to any (5)<br><br>block out on $int_if to any<br>block in on $int_if to any<br>block out on $ext_if to any<br>block in on $ext_if to any<br><br>pass in on $ext_if proto icmp from &lt;web&gt; to 192.168.1.5<br>pass out on $ext_if proto icmp from 192.168.1.5 to &lt;web&gt;<br>pass in on $int_if proto icmp from &lt;web&gt; to 192.168.1.5<br>pass out on $int_if proto icmp from 192.168.1.5 to &lt;web&gt;<br><br>И ничего... пинг с узла 192.168.1.5 на узлы &lt;web&gt; не идёт (естественно с узла 192.168.1.5 вводится ip адрес,а не имя хоста т.к. dns в данном примере не разрешён.)<br>PS: этот конфиг конечно упроще https://www.opennet.ru/openforum/vsluhforumID10/4009.html#1 Thu, 09 Oct 2008 12:36:36 GMT &gt;[оверквотинг удален]<br>&gt;pass out on $int_if proto {tcp,udp} from 192.168.1.5 to &lt;web&gt; (7)<br>&gt;<br>&gt;Основная проблема заключается в том что pf сначала обрабатывает правила NAT (5), <br>&gt;а только затем правила фильтра (7), поэтому последнее правило (7) не <br>&gt;справедливо т.к. пакет уже обработан и его заголовок заменён с адреса <br>&gt;192.168.1.5 на адрес внешнего интерфейса, а именно на то что назначено <br>&gt;de0 (1). <br>&gt;<br>&gt;Собственно, как можно организовать используя pf доступ ко внешним ресурсам ориентируясь по <br>&gt;внутреннему ip или внутреннему dns имени? <br><br>Если это весь набор правил то работать вообще не будет, потому что правилом block all блокируется весь входящий трафик на внутренний интерфейс и весь траффик на внешнем интерфейсе.<br>