https://www.opennet.ru/openforum/vsluhforumID10/3859.html Здравствуйте! Проблема такая: есть сеть 192.168.1.0/24, шлюз 192.168.1.1 с pf на freebsd 7.0, который натит и пускает в инет. Делаю фильтрацию в pf с помощью тэгов. Выделяю подобно iptables пакеты которые форвардятся с локалки в инет и пакеты идущие непосредственно со шлюза в инет:<br><br>block drop in on rl1 inet from 192.168.1.0/24 to ! 192.168.1.1 tag fwd_int_to_ext<br>block drop out on rl0 inet from xx.xx.xx.xx to any tag out_ext ! tagged fwd_int_to_ext<br><br>потом фильтрую по разным признакам, например:<br><br>pass quick inet proto tcp from any to 217.112.42.215 port = pop3 flags S/SA modulate state tagged fwd_int_to_ext<br>pass quick inet proto tcp from any to 217.112.42.215 port = smtp flags S/SA modulate state tagged fwd_int_to_ext<br>pass quick inet proto icmp all icmp-type echoreq keep state tagged fwd_int_to_ext<br><br>все что не нужно блочится, нужное ходит на ура, но захотелось мне пустить в инет по 123 udp порту только одну машинку 192.168.1.2, пишу:<br><br>pass quick inet proto udp from 192.168.1.2 to any port = ntp ke https://www.opennet.ru/openforum/vsluhforumID10/3859.html#4 Thu, 24 Jul 2008 13:16:24 GMT <br>&gt;Ага, полезный конфиг. Вот бы еще прозрачное проксирование прикрутить и ограничение скорости <br>&gt;на основе ALTQ ;) <br><br>читаем рецепт в том же месте...<br> https://www.opennet.ru/openforum/vsluhforumID10/3859.html#3 Wed, 23 Jul 2008 13:14:12 GMT <br>&gt;http://www.bsdportal.ru/viewtopic.php?t=18189 <br><br>Ага, полезный конфиг. Вот бы еще прозрачное проксирование прикрутить и ограничение скорости на основе ALTQ ;)<br><br> https://www.opennet.ru/openforum/vsluhforumID10/3859.html#2 Tue, 22 Jul 2008 12:03:25 GMT вобщем, кому интересно, проблема решилась + родился конфиг удобный для администрирования. см. http://www.bsdportal.ru/viewtopic.php?t=18189<br> https://www.opennet.ru/openforum/vsluhforumID10/3859.html#1 Thu, 26 Jun 2008 12:11:51 GMT самое интересное, когда делаю на 192.168.1.2<br><br>$ ntpdate -q ru.pool.ntp.org<br>server 193.124.11.11, stratum 0, offset 0.000000, delay 0.00000<br>26 Jun 16:00:08 ntpdate[48431]: no server suitable for synchronization found<br><br>что значит до сервака не достучатся...<br>а на 192.168.1.1 при выводе команды pfctl -sr -v нахожу:<br><br>pass quick inet proto udp from 192.168.1.2 to any port = ntp keep state tagged fwd_int_to_ext<br> [ Evaluations: 7111 Packets: 100 Bytes: 6600 States: 1 ]<br> [ Inserted: uid 0 pid 4449 ]<br><br>то есть пакеты попадают под правило, состояние тоже сохраняется (States: 1)... непонятно<br>