PF - привязка правил к сервису

[icb]

Решил попробовать раздавать интернет в локальной сети через VPN (MPD5). Вроде получается довольно удобно (авторизация, учет трафика), но возник вопрос как лучше пропускать этот трафик через PF. Сейчас делаю так:

Код: Выделить всё

nat on $ext_if from <pf-allow-pc> to any -> ($ext_if)

Но при такой конфигурации любой человек может установить себе адрес из разрешенных <pf-allow-pc> и выйти без авторизации. Как правильнее сделать? Можно ли правила привязывать к сервису?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Гость]

а что логикой фаервола прям так никак нельзя не?
подумайте

[icb]

Можно еще к интерфейсу привязаться, но:
1. интерфейс ngXXX может создать не только MPD
2. как задать все ng (я ведь не знаю сколько их будет создано)?