Вообщем решил тут поизучать PF.
Есть рутер на FreeBSD 6.0
У него три интерфейса:
1. fxp0(10.0.0.12/24) - внутренний
2. rl0(192.168.10.2/29) - связь с модемом ADSL он в качестве моста
3. rl1(192.168.12.24/24) - второй пров по выделенке
4. tun0(192.168.15.1<->192.168.15.2) - туннель PPPoE до прова

На серваке крутятся стандартные там всякие сервисы...
Во внутренней сетке есть клиенты которым нужен доступ
только к Томской сети, и есть к кому нужен доступ в полный инет.
Все клиенты должны ходить через прова на выделенке, тоесть через rl1
Почта принимается и отдается клиентам с IP туннеля тоесть на локальном
IP tun0

Родился у меня вот такой конфиг, незнаю правильно или нет, прокоментируйте...

### Макросы
##
#
Tomline_If="rl0"
Telecom_If="tun0"
Modem_If="rl1"
Int_If="fxp0"
Ext_If="rl0"

#
Int_Net="10.0.0.0/24"
Int_Gw="10.0.0.12"
Ext_Gw_Ip="192.168.12.24"
Telecom_Gw_Ip="192.168.15.1"

#
AllowExtPorts="20,21,22,23,25,53,80,110,143,443,3146,3389,6112,5190,8000,8080,6667,6669"

#
AllowIntPorts="20,21,25,53,80,110,143"
### Таблицы
##
#
table <tomsknets> persist file "/usr/local/etc/tomsknets" # Таблица томских сетей
table <allnetnat> persist file "/usr/local/etc/allnetnat" # Таблица IP для полного доступа к инету
tbale <tomsknetnat> persist file "/usr/local/etc/tomsknetnat" # Таблица IP для доступа только к томским сетям

### Опции запуска
##
#
set block-policy drop
set log-interface rl0

### Нормализация
##
#
scrub in all

### Очереди
##
#
altq on $Ext_If cbq bandwith 100% queue { server, tomsknet, allnet }
queue server bandwith 30% cbq(borrow red)
queue allnet bandwith 20% cbq(borrow red)
queue tomsknet bandwith 50% cbq(borrow red)

### Трансляция
##
#
nat on interface $Int_If inet from <allnetnat> to any port $AllowExtPorts -> $Ext_If
nat on interface $Int_If inet from <tomsknetnat> to <tomsknets> port $AllowExtPorts > $Ext_If

### Фильтрация
##
#
block in all
block out all
pass in quick on lo0 all
antispoof for $Tomline_If inet
antispoof for $Telecom_If inet
antispoof for $Modem_If inet
antispoof for $Int_If inet

#
pass in quick on interface $Modem_If

# Пропускаем траффик на интерфейсах rl0 и ppp0
pass in quick on $Ext_If from any to $Ext_Gw_Ip port $AllowIntPorts synproxy state queue server
pass in quick on $Telecom_If from any to $Telecom_Gw_Ip port $AllowIntPorts synproxy state

# Для интерфейса fxp0
pass in quick on $Int_If from $Int_Net to $Int_Gw synproxy state

###
pass in quick on $Int_If from <allnetnat> to any port $AllowExtPorts synproxy state queue allnet
pass in quick on $Int_If from <tomsknetnat> to any port $AllowExtPorts synproxy state queue tomsknet
pass in quick on $Telecom_Of from $Int_Net to $Telecom_Gw_Ip synproxy state

• PF и пару вопросов, fvl, 14:26 , 14-Ноя-05, (1)  
• PF и пару вопросов, rootkid, 02:05 , 18-Ноя-05, (2)