Сел подумал...
Цитата:
block drop in quick on ! fxp1 inet from 188.231.xxx.xxx/25 to any
block drop in quick inet from 188.231.xxx.xxx to any prio 0
block drop in quick on fxp1 inet6 from fe80::2d0:b7ff:fe16:8b6 to any prio 0
ну это антиспуф х.с.н.
Цитата:
pass all flags S/SA
дефолтный action у ПФ и так "пасс", т.е. оно не надо здесь.
Цитата:
block drop in on fxp1 all
block drop in log quick on fxp1 inet from <__automatic_971e3ec4_0> to any
Ставишь дефолтный action block на внешнем интерфейсе.
Я бы поставил
"block drop log all" для отладки. (удобно смотреть на pflog что заблочилось(ну или pass если не использовать quick))
Цитата:
pass out on fxp1 from <vpn_users> to any flags S/SA nat-to (fxp1) round-robin
НАТиш всё от ВПН пользователей
Цитата:
pass in on fxp0 inet proto tcp from (fxp0:network) to (fxp0) port = pptp flags S/SA
pass in on fxp0 inet proto gre from (fxp0:network) to (fxp0)
Разрешаешь PPTP. Но смысл, если у тебя на интерфесе fxp0 всё разрешено?
Цитата:
pass in on tun inet from <vpn_users> to ! (self) flags S/SA
На интерфейсайх tun, тоже всё разрешено т.е. это правило бесполезно.
Но я бы блочил здесь, т.к. зачем трафик запускать внутрь НАТить, а потом никуда его не пускать.
Т.е. если у тебя дефолтно всё разрешено, то надо блочить (и наоборот)
"block in quick on tun to <tim_ip>"Правда, насколько я помню есть какие-то особенности и с дефолтным ПАСС.
А последнее вообще ненадо. до его не дойдет.
Цитата:
pass out on fxp1 from any to <tim_ip> flags S/SA
Если бы это правило работало, то под его подпадали бы всё из таблицы, за исключением 95.211.162.245.
Т.к. дефолт action block на этом интерфейсе.
Т.е. наобот от того что ты хочешь.