https://www.opennet.ru/openforum/vsluhforumID10/4065.html Имеется pf.conf<br><br>ext_if="rl0"<br>int_if="bfe0"<br><br>tcp_services = "{ ssh, pop3, smtp, domain }"<br>udp_services = "{ domain }"<br><br>scrub in all<br><br>nat on $ext_if from $int_if:network to any -&gt; ($ext_if)<br><br>block all<br><br>pass proto tcp to any port $tcp_services keep state<br>pass proto udp to any port $udp_services keep state<br>pass on $ext_if inet proto icmp icmp-type {0, 3, 4, 8, 11, 12}<br>pass out on $ext_if proto {tcp, udp} all flags S/SA keep state<br><br>Внутри сети есть squid (не transparent). Как написать правило, которое будет пропускать трафик изнутри сети с порта 3128 и выпускать его наружу? Пробовал<br><br>ext_if="rl0"<br>int_if="bfe0"<br><br>tcp_services = "{ ssh, pop3, smtp, domain, www }"<br>udp_services = "{ domain }"<br><br>scrub in all<br><br>nat on $ext_if from $int_if:network to any -&gt; ($ext_if)<br>rdr on $int_if proto tcp from any to any port 3128 -&gt; 127.0.0.1<br><br>block all<br>block drop in quick log on $int_if proto tcp from $int_if:network to ! 192.168.0.1 port 80<br><br>pass on lo0<br>pass proto tcp to any port $tcp_services keep https://www.opennet.ru/openforum/vsluhforumID10/4065.html#3 Tue, 25 Nov 2008 08:27:58 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;12} <br>&gt;&gt;&gt;pass out on $ext_if proto {tcp, udp} all flags S/SA keep state <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Не получается... <br>&gt;<br>&gt;Squid и так на этой же машине. Может я недостаточно точно описал <br>&gt;то, что мне нужно, но на машине с pf мне нужны <br>&gt;те правила, которые уже работают, но вот прямой доступ через этот <br>&gt;шлюз по 80 порту мне нужно закрыть, а разрешить ходить только <br>&gt;через squid. <br><br>на внутреннем интерфейсе запретите то что идет на 80 порт любых адресов и разрешите то что идет на порт и адрес прокси<br> https://www.opennet.ru/openforum/vsluhforumID10/4065.html#2 Tue, 25 Nov 2008 08:09:04 GMT &gt;[оверквотинг удален]<br>&gt;&gt;! 192.168.0.1 port 80 <br>&gt;&gt;<br>&gt;&gt;pass on lo0 <br>&gt;&gt;pass proto tcp to any port $tcp_services keep state <br>&gt;&gt;pass proto udp to any port $udp_services keep state <br>&gt;&gt;pass on $ext_if inet proto icmp icmp-type {0, 3, 4, 8, 11, <br>&gt;&gt;12} <br>&gt;&gt;pass out on $ext_if proto {tcp, udp} all flags S/SA keep state <br>&gt;&gt;<br>&gt;&gt;Не получается... <br><br>Squid и так на этой же машине. Может я недостаточно точно описал то, что мне нужно, но на машине с pf мне нужны те правила, которые уже работают, но вот прямой доступ через этот шлюз по 80 порту мне нужно закрыть, а разрешить ходить только через squid.<br> https://www.opennet.ru/openforum/vsluhforumID10/4065.html#1 Tue, 25 Nov 2008 07:24:33 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;pass proto tcp to any port $tcp_services keep state <br>&gt;pass proto udp to any port $udp_services keep state <br>&gt;pass on $ext_if inet proto icmp icmp-type {0, 3, 4, 8, 11, <br>&gt;12} <br>&gt;pass out on $ext_if proto {tcp, udp} all flags S/SA keep state <br>&gt;<br>&gt;<br>&gt;Внутри сети есть squid (не transparent). Как написать правило, которое будет пропускать <br>&gt;трафик изнутри сети с порта 3128 и выпускать его наружу? Пробовал <br><br>с машины со squid инет работает? если squid не transparent, то у клиента должен быть прописан адрес и порт прокси.<br>&gt;[оверквотинг удален]<br>&gt;ext_if="rl0" <br>&gt;int_if="bfe0" <br>&gt;<br>&gt;tcp_services = "{ ssh, pop3, smtp, domain, www }" <br>&gt;udp_services = "{ domain }" <br>&gt;<br>&gt;scrub in all <br>&gt;<br>&gt;nat on $ext_if from $int_if:network to any -&gt; ($ext_if)<br>&gt;rdr on $int_if proto tcp from any to any port 3128 -&gt; 127.0.0.1<br><br>это правило и в таком виде сработало бы если бы squid был на этой же машине и настроен как transparent<br>&gt;[оверквотинг удален]<br>&gt;! 192.168.0.1 port 80 <br>&gt;<br>&gt;pass on lo0 <br>&gt;pas