> если с секцией нат, то вроде пишут сначало нат, а потом фильтрация А я утверждал обратное?
> http://www.openbsd.org/faq/pf/ru/nat.html#filter
> да и на форуме были те кто прошелся по этой фиче
И что?
> в поновей версии pf поменяли
> http://www.openbsd.org/faq/pf/nat.html
Поменяли что? Порядок следования ната и фильтрации?
Смотрю в man pf.conf
Вижу следующее:
ОПИСАНИЕ
Пакетный фильтр pf изменяет, отбрасывает или передает пакеты в соответствии с
правилами или определениями указанными в pf.conf.
ПОРЯДОК ОПЕРАТОРОВ
Есть семь типов разделов (секций) в pf.conf:
МАКРОСЫ
Пользовательские переменные могут быть определены и использованы в дальнейшем,
что упрощает файл конфигурации. Макросы должны быть определены прежде, чем на них
будут ссылаться в pf.conf.
ТАБЛИЦЫ
Таблицы обеспечивают механизм для увеличения производительности и гибкости правил
с большим количеством адресов источника или назначения.
ОПЦИИ
Параметры настройки поведения механизма фильтрации пакетов.
НОРМАЛИЗАЦИЯ ТРАФИКА (например, скраб)
Нормализация трафика защищает внутренние машин от несоответствий в протоколах
Интернета и реализации.
УПРАВЛЕНИЕ ОЧЕРЕДЯМИ
Управление очередями предоставляет основанное на правилах управление полосой пропускания.
РАЗЛИЧНЫЕ ФОРМЫ ТРАНСЛЯЦИИ СЕТЕВЫХ АДРЕСОВ (NAT)
Правила преобразования адресов указывают, как адреса должны быть отображены или
перенаправлены на другие адреса.
ФИЛЬТРАЦИЯ ПАКЕТОВ
Фильтрация пакетов обеспечивает на основе правил блокирование или пропускание пакетов.
За исключением макросов и таблиц, типы разделов (инструкций/секций) должны быть сгруппированы и
представлены в pf.conf в порядке, указанном выше, так как это соответствует базовому механизму
фильтрации пакетов. По умолчанию pfctl обеспечивает соблюдение этого порядка
(см. раздел require-order ниже).
Комментарии могут размещаться в любом месте файла с помощью знака ('#') и
продолжаются до конца текущей строки.
Дополнительные файлы конфигурации могут быть включены с помощью ключевого слова include,
например:
include "/etc/pf/sub.filter.conf"
Ан нет, не поменяли. Всё осталось как прежде. Нат, потом фильтр.
ТС пишет:
> некоторым IP адресам из внутренней сети необходимо дать доступ к заблокированным сайтам.
> Но поскольку в PF сначала идет NAT-ирование,
это секция с нат вперёд идёт, чем секция с фильтрацией.
> то на момент фильтрации внутренние IP адреса уже подменены на внешний IP адрес шлюза.
на внутреннем интерфейсе - нет, ещё не подменены, не успели(опоздали?))
> Каким образом можно сделать фильтрацию на внутреннем интерфейсе по IP-шнику, до натирования?
Различным способом, можно запихнуть "блатных" в отдельную таблицу и разрешить им (ей, таблице ))