Добрый день, подскажите где ошибка в pf.conf

[ya]

С сервака порты работают, всё пингуется. А с пользовательских машин интернет не работает, но почта и мэйл агент работает.

int_if="bce1"
ext_if="bce0"
proxy_if="lo0"
proxy_port="3128"
buh="192.168.10.54"
mail="192.168.10.2"
allowed_icmp_types="{ echoreq, unreach }"

set block-policy return
set skip on lo0
set loginterface bce0
set loginterface bce1
set limit { states 20000 frags 20000 }
set state-policy if-bound
set timeout { frag 10, tcp.established 3600 }

scrub in all

nat on $ext_if proto tcp from $int_if:network to any port { 80, 443 } -> $ext_if
nat on $ext_if proto tcp from $mail to any port 25 -> $ext_if
nat on $ext_if proto udp from $mail to any port 53 -> $ext_if

rdr on $ext_if proto tcp from any to $ext_if port 25 -> $mail port 25

block out

antispoof quick for { lo0, $int_if, $ext_if }

block drop in quick on $int_if from !$int_if:network to any
block drop in quick on $int_if proto tcp from !$mail to any port 25

block drop quick from <BRUTEFORCERS>

pass inet proto icmp all icmp-type $allowed_icmp_types

#ssh
pass in on $int_if proto tcp from $int_if:network to $int_if port 443 keep state
pass in on $ext_if proto tcp from any to $ext_if port 443 keep state

# outside users -> me 80,53 (dns && www)
pass in on $ext_if proto tcp from any to $ext_if port { 53, 80} keep state
pass in on $ext_if proto udp from any to $ext_if port 53 keep state

# inside users -> outside 80,443 (ala Proxy)
pass in on $int_if proto tcp from $int_if:network to any port { 80, 443 } keep state

# outside mail servers -> me 25
pass in on $ext_if proto tcp from any to $ext_if port 25 keep state

# inside mail server -> outside 25
pass in on $int_if proto tcp from $mail to any port 25 keep state
pass in on $int_if proto tcp from $mail to any port 53 keep state

# statefull rules
pass out on $ext_if from $ext_if to any keep state
pass out on $int_if from $int_if to any keep state

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zeus4all]

хм а инет то тянет через 80? или простонет пинга ?

Код: Выделить всё

nat on $ext_if from {$int_if:network} to any -> ($ext_if)
rdr on $int_if proto {tcp,udp} from {$int_if:network} to any port {http,https} -> 127.0.0.1 port 3128

ето просто пример (копипаст,без заточки на случай)

[Гость]

хм а инет то тянет через 80? или простонет пинга ?

Ни инета не пинга нету на пользовательских, на серваке всё работает

[zeus4all]

ну попробуй вогнать скобки для начала, а потом не знаю не поможет то наверное надо бы посмотреть логи, если я не ошибаюсь, а я могу , то это дело у Вас прописано.
есть еще старый пионерский способ, и меня как пионера выручало порой,просто закоментить все правила и просто начать внедрять их поочередно парами "можно-нельзя", пока не дойдешь до затыка.
на уровне шизофрении

Код: Выделить всё

cat /etc/rc.conf | grep gateway

[ttys]

set loginterface bce0
set loginterface bce1

во первых loginterface мона тока с одного интерфейса собирать
и откуда взялся

block drop quick from <BRUTEFORCERS>

и чё показывает "pfctl -sr" и "pfctl -nf /etc/pf.conf"?

[ttys]

а с днс не может быть проблемы? хотя если почта ходит то по идеи днс работает
вот простой пример, глянь здесь