- Это не так Просто секция с нат идет раньше, чем правила фильтрации, только и вс, михалыч (ok), 16:19 , 30-Окт-13 (1)
> Но поскольку в PF сначала идет NAT-ирование, то на момент фильтрации внутренние > IP адреса уже подменены на внешний IP адрес шлюза.Это не так. Просто секция с нат идет раньше, чем правила фильтрации, только и всего. > Каким образом можно сделать фильтрацию на внутреннем интерфейсе по IP-шнику, до натирования? Стандартно, методом исключения. table <bad> { 192.168.200.0/24, !192.168.200.50, !192.168.200.55 } таблица bad содержит "плохие" IP-адреса и включает в себя всю сеть 192.168.200.0/24 кроме адресов 192.168.200.50 и 192.168.200.55
|