pf блокирует пакеты между локальными сетями
Добавлено: 2014-11-24 16:15:33
Здравствуйте! Вопрос такой, есть локальная сеть 192.168.0.0/24 шлюз 192.168.0.111, есть vpn сервер с адресом 192.168.0.254, сеть за vpn сервером 192.168.65.0/24. С компа из сети 192.168.0.0/24 в сеть 192.168.65.0/24 пакеты ходят нормально все работает, но в обратную сторону ответный пакет из 192.168.0.0/24 идет через 192.168.0.111->192.168.0.254 и пакет блочится на внутреннем интерфейсе 192.168.0.111:
11е правило block in log all.
Никак не могу написать разрешающее правило.
pf.conf
гугл не помогает(
все работает только если закоментировать block in log
Подскажите как надо разрешить траффик проходящий транзитом через внутренний интерфейс
Код: Выделить всё
rule 11/0(match): block in on vr0: 192.168.0.100.3389 > 192.168.65.100.1397.
Никак не могу написать разрешающее правило.
pf.conf
Код: Выделить всё
ext_if="rl0"
lan_if="vr0"
table <lan_ips> persist { 192.168.0.0/24 }
table <vpn_ips> persist { 192.168.65.0/24}
set block-policy drop
set skip on lo
set skip on pfsync
nat on $ext_if inet from ! $ext_if to any -> $ext_if
antispoof quick for lo
antispoof quick for $ext_if
antispoof quick for $lan_if
block in log
pass out flags S/SA keep state
block quick inet6
#Вариант (не работает)
pass in quick on $lan_if inet proto {tcp,udp} from 192.168.0.0/24 to 192.168.65.0/24 keep state
pass out quick on $lan_if inet proto {tcp,udp} from 192.168.0.0/24 to 192.168.65.0/24 keep state
все работает только если закоментировать block in log
Подскажите как надо разрешить траффик проходящий транзитом через внутренний интерфейс