Спасибо,но в даном примере любой jail сможет ходить в инет куда угодно, правило pass out quick proto tcp from 10.10.0.42 to any port 53 flags S/SA modulate state будет проигнорировано в даном случаи и пакет от любого с jail-ов пройдет через правило pass out quick on tun0 from (tun0) to any keep state
Правило pass out on tun0 proto tcp from 10.10.10.42 to any port 53 keep state тоже будет проигнорировано и в даном примере первое(pass) и это правило можно смело закоментировать
Это происходит потому,что nat сначала меняет адрес отправителя с 10.10.0.42 на тот,что на tun0 и потом уже пакет(с новым адресом) передается правилам фильтрации. Такого не происходит,если отправляет удаленный чувак.тогда все ок.
Если же закоментировать nat,тогда фаер начнет рубить пакеты от jail-ов и тогда будет смысл в правилах
pass out quick proto tcp from 10.10.0.42 to any port 53 flags S/SA modulate state
pass out on tun0 proto tcp from 10.10.10.42 to any port 53 keep state
Но инета jail-ы все равно не получат по понятным причинам,таким же,как и машины в локалке.
Книжку поищу,мож что-то там вычитаю
Цитата:
nat on $ext_if from $prv_ad to any -> $ext_ad
pass out on $ext_if proto tcp from $prv_ad to any
|
ХЗ,может в OpenBSD это работает,в Free
pass out on $ext_if proto tcp from $prv_ad to any
до лампочки,тк пакет захочет идти не от $prv_ad, а от $ext_if
