https://www.opennet.ru/openforum/vsluhforumID10/4749.html Коллеги, добрый вечер.<br>Имеется проблема след. плана:<br>Исходные данные:<br>Шлюз на OpenBSD_4.7 в качестве firewall используется pf<br>Шлюз имеет 2 интерфеса - один смотрит в инет, другой в LAN (192.168.1.0/24)<br>Конфиг pf (pf.conf):<br># Define network interfaces<br>ext_if="xl2" #ISP <br>int_if="xl0" #Internal network interface<br>ext_ip="XX.YY.ZZ.II" #IP provided by provider<br>int_ip="192.168.1.254" #IP for internal interface<br># Define tables<br>table &lt;office&gt; persist {192.168.1.0/24} #Our office net<br># Define group services<br>web_srv="{www,https,8080,tftp,ftp}" #Common internet services<br><br># SET OPTIONS<br>set skip on lo #Don't check for loopback<br>set block-policy return #Safe block policy (RST-packet)<br>set loginterface none #Disable packet logging<br>set ruleset-optimization none<br>set limit states 20000 #Max limit entries<br># NAT AND REDIRECT RULES<br># NAT on each external networ https://www.opennet.ru/openforum/vsluhforumID10/4749.html#4 Tue, 23 Nov 2010 14:00:01 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; pf nat работает с сохранением состояний, то есть как только есть<br>&gt;&gt;&gt; nat то уже подразумевается keep-state, а ты все это повырубал. Хотя<br>&gt;&gt;&gt; могу и ошибаться.<br>&gt;&gt; Дык вот и у меня такая мысль есть... Но в доках ничего<br>&gt;&gt; про это не написано...<br>&gt; Как раз то что nat сохраняет состояния в доках написано<br>&gt;&gt; У меня задача - шейпить трафик ОТ провайдера по сервисам (web, почта<br>&gt;&gt; и т.д.) во внутреннюю сеть. Может есть мысли по этому поводу?<br>&gt; А для этого средствами pf можно с altq работать. Погугли - примеров<br>&gt; куча<br><br>pf можно с altq пробовал в том то вся проблема - там нужно no state делать... А мне на выходе нат нужен :-( <br> https://www.opennet.ru/openforum/vsluhforumID10/4749.html#3 Tue, 23 Nov 2010 12:45:00 GMT &gt;&gt; Давно я уже с этим не работал, но насколько я помню в<br>&gt;&gt; pf nat работает с сохранением состояний, то есть как только есть<br>&gt;&gt; nat то уже подразумевается keep-state, а ты все это повырубал. Хотя<br>&gt;&gt; могу и ошибаться.<br>&gt; Дык вот и у меня такая мысль есть... Но в доках ничего<br>&gt; про это не написано...<br><br>Как раз то что nat сохраняет состояния в доках написано<br><br>&gt; У меня задача - шейпить трафик ОТ провайдера по сервисам (web, почта<br>&gt; и т.д.) во внутреннюю сеть. Может есть мысли по этому поводу?<br><br>А для этого средствами pf можно с altq работать. Погугли - примеров куча<br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/4749.html#2 Tue, 23 Nov 2010 10:57:00 GMT &gt; Давно я уже с этим не работал, но насколько я помню в<br>&gt; pf nat работает с сохранением состояний, то есть как только есть<br>&gt; nat то уже подразумевается keep-state, а ты все это повырубал. Хотя<br>&gt; могу и ошибаться.<br><br>Дык вот и у меня такая мысль есть... Но в доках ничего про это не написано...<br>У меня задача - шейпить трафик ОТ провайдера по сервисам (web, почта и т.д.) во внутреннюю сеть. Может есть мысли по этому поводу? <br> https://www.opennet.ru/openforum/vsluhforumID10/4749.html#1 Tue, 23 Nov 2010 10:14:04 GMT Давно я уже с этим не работал, но насколько я помню в pf nat работает с сохранением состояний, то есть как только есть nat то уже подразумевается keep-state, а ты все это повырубал. Хотя могу и ошибаться.<br>