Класическая схема -
есть сервак (FreeBSD 5.4, PF, Squid, PoPToP) с двумя интерфейсами (один в инет, другой в локалку). Локалка - сеть 192.168.2.0/24. Часть пользователей из локалки ходит в инет через VPN. При подключении к VPN-серверу им выдаются адреса 192.168.20.Х/32.
При всём этом нужно завернуть весь http трафик на Squid.
В pf.conf пишу:
internal_net="192.168.2.0/24"
vpn_net="192.168.20.0/24"
nat on $ext_if from $internal_net to any -> ($ext_if)
nat on $ext_if from $vpn_net to any -> ($ext_if)
rdr on $int_if inet proto tcp from any to any port www -> 127.0.0.1 port 3128

Самое интересное, что запросы из сети 192.168.2.0/24 заворачиваются на прокси, а из vpn_net - даже и не думают.
Пробовал отдельные правила писать для этих сетей, пользователям менял маску сети на 24 - то же самое.
До этого стояла FreeBSD 4.5 и ipfw - всё работало на ура.

Направьте на путь истинный.

• PF and transparent proxy,A Clockwork Orange, 17:05 , 09-Авг-05
  • PF and transparent proxy,Krom, 19:36 , 10-Авг-05

попробуй заворачивать для vpn с интерфейсов ppp.

>попробуй заворачивать для vpn с интерфейсов ppp.

Пробовал - не работает :(