AMDmi3 писал(а):
Я хочу сказать ровно то что сказал - адрес внутреннего интерфейса к транзитному трафику никакого отношения не имеет. Адрес внешнего в общем случае тоже. На внутреннем интерфейсе трафик между локальной сетью и интернетом это <local_networks> ↔ ANY
понял! только так <local_networks> ↔ ANY а не <local_networks> to $int_if и $int_if to <local_networks>
но в мануалах и различных конфигах типа как пример используют <local_networks> ↔ $int_if . и у них все работает типа.
Ну ладно.
Если поставить <local_networks> ↔ ANY тогда это правило переопределяет правило block all из <local_networks> to $int_if и разрешает Sambа, локальный dns, dhcp и тд без всяких и на то разрешающих правил. Спрашивается зачем тогда эти правила))?
pass in on $int_if inet proto { tcp, udp } from <local_networks> port 67:68 to $int_if port 67:68 keep state
pass in on $int_if inet proto { tcp, udp } from <local_networks> to $int_if port domain keep state
pass in on $int_if inet proto udp from <local_networks> to $int_if port ntp keep state
pass in on $int_if inet proto { tcp, udp } from <local_networks> to $int_if port 445 keep state
Логично должно быть так
не хватает только чтобы работали эти правила
pass in on $int_if inet proto { tcp udp } from <local_networks> to $int_if
pass out on $int_if inet proto { tcp udp } from $int_if to <local_networks>
pass in on $ext_if inet proto { tcp udp } from any port { http, https } to $ext_if
pass out on $ext_if inet proto { tcp udp } from $ext_if to any port { http, https }
тогда никаких вопросов не было б)