>Если юзвери останутся без своего порно то боюсь начнутся массовые волнения в
>офисе.порно в офисе - дело важное! ;)
>1) По правилам NAT. Почему в большинстве конфигов основное правило трансляции записывают
>так
>nat on $ext_if from $int_net to any ->($ext_if)
это можно перевести как - "навесить на внешний интерфейс NAT правило - если что-то приходит из внутренней сети в направлении наружу"
>видимо не очень догоняю этот момент.
представь картинку: INET <=> ext_if <=> [ server ] <=> int_if <=> LAN
вот мы и вешаем правило на ext_if, чтобы оно смотрело и НАТило все пакеты, которые уходят наружу. Какоя смысл НАТить пакеты, который только пытаются зайти на сервер из int_if? (вдруг они наружу не хотят?) :)
>2) Уж так вот вышло, но внешний айпишник (один всего)
это нормально
>гайтвей сети распределяется по DHCP. Нужно ли в КАЖДОМ правиле указывать
не вижу связи между внешним IP и default gateway'ем, который выдается пользователям.
Внешний IP живет на ext_if, а default gateway для LAN должен жить на int_if. Вроде как их интересы никак не пересекаются...
>pass out quick on $ext_if inet proto <tcp_udp> from any to any port www keep state
>pass in quick $int_if from any port www to $int_net keep state
если все что тебе надо - это НАТить запросы во внешнюю сеть, то правилами fw можно вообще пренебречь. Просто пропиши
# default rule - pass from any to any
pass in from any to any
pass out from any to any
и не заморачивайся.
>нужно ли заменять каждое $ext_if на ($ext_if) ?
вот, живой пример - nat on $ext_if from $int_net to any -> ($ext_if)
этого на все достаточно.
вот, примеры живых конфигов http://wiki.zeynalov.com/vagif:docs:freebsd:pf
Вариант для распечатки
Информационная безопасность (Public)
(ok) on 23-Ноя-09, 23:24 
