https://217.65.3.21/openforum/vsluhforumID10/4543.html Столкнулся с проблемой разграничения доступа на pf.<br>Суть в следующем:есть список клиентов client.conf<br>ext_if="xl0"<br>int_if="rl0"<br><br>table &lt;clients&gt; persist file "/etc/clients.conf"<br><br>разрешаю нат только для &lt;clients&gt;<br>nat on $ext_if from &lt;clients&gt; -&gt; $ext_if<br><br>Теперь хочу разграничить доступ к различным url и протоколам<br><br>pass out quick on $ext_if proto tcp from &lt;clients&gt; to any port www modulate state flags S/SA queue www_out ( это правило работает)<br> Создаю еще один список work:<br>table &lt;work&gt; persist file "/etc/work.conf"<br>и правило для него:<br><br>pass out quick on $ext_if proto tcp from &lt;work&gt; to any port 22 modulate state flags S/SA queue ssh_out<br> и доступ к ssh получают все , кто прописан в table &lt;clients&gt;. Потому что натится таблица <br>&lt;clients&gt;.<br>Где-то я туплю ?<br> https://217.65.3.21/openforum/vsluhforumID10/4543.html#4 Thu, 18 Mar 2010 14:11:38 GMT &gt;[оверквотинг удален]<br>&gt;&gt;а не могли бы привести пример такого правила ? <br>&gt;<br>&gt;так же как и у вас <br>&gt;<br>&gt;pass in on $int_if proto tcp from &lt;work&gt; to any port 22<br>&gt;pass in on $int_if proto tcp from &lt;clients&gt; to any port www<br>&gt;<br>&gt;если это просто шлюз для локалки, то натить лучше все, что бы <br>&gt;провайдер не возмущался про адреса от вас. <br>&gt;очереди на $ext_if делайте, только без проверка from &lt;...&gt; т.к. адресом источника будет ip = $ext_if<br><br>Спасибо. Попробую<br> https://217.65.3.21/openforum/vsluhforumID10/4543.html#3 Thu, 18 Mar 2010 13:01:04 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;и правило для него: <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;pass out quick on $ext_if proto tcp from &lt;work&gt; to any port 22 modulate state flags S/SA queue ssh_out<br>&gt;&gt;&gt; и доступ к ssh получают все , кто прописан в table &lt;clients&gt;. Потому что натится таблица <br>&gt;&gt;&gt;&lt;clients&gt;.<br>&gt;&gt;&gt;Где-то я туплю ? <br>&gt;&gt;<br>&gt;&gt;это делать нужно до nat, на входящем интерфейсе. <br>&gt;<br>&gt;а не могли бы привести пример такого правила ? <br><br>так же как и у вас<br><br>pass in on $int_if proto tcp from &lt;work&gt; to any port 22<br>pass in on $int_if proto tcp from &lt;clients&gt; to any port www<br><br>если это просто шлюз для локалки, то натить лучше все, что бы провайдер не возмущался про адреса от вас.<br>очереди на $ext_if делайте, только без проверка from &lt;...&gt; т.к. адресом источника будет ip = $ext_if<br> https://217.65.3.21/openforum/vsluhforumID10/4543.html#2 Thu, 18 Mar 2010 11:35:35 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Создаю еще один список work: <br>&gt;&gt;table &lt;work&gt; persist file "/etc/work.conf"<br>&gt;&gt;и правило для него: <br>&gt;&gt;<br>&gt;&gt;pass out quick on $ext_if proto tcp from &lt;work&gt; to any port 22 modulate state flags S/SA queue ssh_out<br>&gt;&gt; и доступ к ssh получают все , кто прописан в table &lt;clients&gt;. Потому что натится таблица <br>&gt;&gt;&lt;clients&gt;.<br>&gt;&gt;Где-то я туплю ? <br>&gt;<br>&gt;это делать нужно до nat, на входящем интерфейсе. <br><br>а не могли бы привести пример такого правила ?<br> https://217.65.3.21/openforum/vsluhforumID10/4543.html#1 Wed, 17 Mar 2010 18:01:17 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;pass out quick on $ext_if proto tcp from &lt;clients&gt; to any port www modulate state flags S/SA queue www_out ( это правило работает)<br>&gt; Создаю еще один список work: <br>&gt;table &lt;work&gt; persist file "/etc/work.conf"<br>&gt;и правило для него: <br>&gt;<br>&gt;pass out quick on $ext_if proto tcp from &lt;work&gt; to any port 22 modulate state flags S/SA queue ssh_out<br>&gt; и доступ к ssh получают все , кто прописан в table &lt;clients&gt;. Потому что натится таблица <br>&gt;&lt;clients&gt;.<br>&gt;Где-то я туплю ? <br><br>это делать нужно до nat, на входящем интерфейсе.<br><br><br>