OpenForum RSS: Несколько вопросов по конфигу pf - не работает как надо :( https://opennet.me/openforum/vsluhforumID10/4428.html Прошу помочь по ряду вопросов. Осваиваю файровол pf (во FreeBSD OpernBSD) и пишу свой первый кофиг. Получается пока плохо , но я не сдаюсь. Хотя временами думаю о жизни&#8230;А кстати предстоит вкусить плоды моего творчества юзверям в реальной сети в одной конторе. Компов 50. Если юзвери останутся без своего порно то боюсь начнутся массовые волнения в офисе. А не очень желаетльно :) Подскажите плиз по следующим вопросам:<br><br>1) По правилам NAT. Почему в большинстве конфигов основное правило трансляции записывают так <br>nat on $ext_if from $int_net to any -&gt;($ext_if) <br><br>почему on $ext_if ??? Ведь сначала трафик проходит через внутренний интерфейс затем выполняется трансляция, затем фильтрация затем роутинг, а затем уже трафик уходит в облачко через внешний интерфейс $ext_if. Т.е. в моей первой редакции правило было записано так <br><br>nat on $int_if from $int_net to any -&gt;($ext_if) <br> <br>Чего то я не понимаю &#8211; что означает on $ext_if &#8211; т.е я понимаю что означает &#8211; что там конкретно происходит &#8 Несколько вопросов по конфигу pf - не работает как надо :( (UltraLaser) https://opennet.me/openforum/vsluhforumID10/4428.html#2 Tue, 24 Nov 2009 14:02:29 GMT Спасибо большое за ответ - что то начало проясняться. <br> Несколько вопросов по конфигу pf - не работает как надо :( (vagif) https://opennet.me/openforum/vsluhforumID10/4428.html#1 Tue, 24 Nov 2009 00:02:33 GMT &gt;Если юзвери останутся без своего порно то боюсь начнутся массовые волнения в <br>&gt;офисе.<br><br>порно в офисе - дело важное! ;)<br><br>&gt;1) По правилам NAT. Почему в большинстве конфигов основное правило трансляции записывают <br>&gt;так <br>&gt;nat on $ext_if from $int_net to any -&gt;($ext_if) <br><br>это можно перевести как - "навесить на внешний интерфейс NAT правило - если что-то приходит из внутренней сети в направлении наружу"<br><br>&gt;видимо не очень догоняю этот момент. <br><br>представь картинку: INET &lt;=&gt; ext_if &lt;=&gt; [ server ] &lt;=&gt; int_if &lt;=&gt; LAN<br>вот мы и вешаем правило на ext_if, чтобы оно смотрело и НАТило все пакеты, которые уходят наружу. Какоя смысл НАТить пакеты, который только пытаются зайти на сервер из int_if? (вдруг они наружу не хотят?) :)<br><br>&gt;2) Уж так вот вышло, но внешний айпишник (один всего)<br><br>это нормально<br><br>&gt;гайтвей сети распределяется по DHCP. Нужно ли в КАЖДОМ правиле указывать <br><br>не вижу связи между внешним IP и default gateway'ем, который выдается пользователям.<br>Внешний IP живет на ext_if, а default gateway для L