forum.lissyara.su

Код: Выделить всё

ext_if="rl0" [b](1)[/b]
int_if="nve0"
pptp_if="tun1"
lan="192.168.7.0/24"

set skip on lo0
block quick inet6 all
antispoof quick for $ext_if inet
block in
block return-rst in proto tcp
pass out keep state

# Открываю порт 1723 и GRE для связи. Работает! Тунель коннектится из локалки! [b](2)[/b]
pass in on $int_if inet proto tcp from any to 192.168.7.100 port 1723 keep state 
pass in on $int_if inet proto gre from $lan to 192.168.7.100 keep state

# Интерент на шлюзе
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto {udp,icmp} all keep state

# Разрешаю любой трафик из локальной сети $lan на nve0 [b](3)[/b]
#pass in  on $int_if from $lan to any 
#pass out  on $int_if from any to $lan

Код: Выделить всё

ext_if="rl0"                  #Внешняя сетевушка
int_if="nve0"                #Внутренняя сетевушка
vpn="tun1"                   #Туннель
lan="192.168.7.0/24"    #Внутрренняя сеть
bsd="192.168.7.100"     # Адресс машины Роутера

set skip on lo0

# делаем нат на внешнем интерфейсе локальной сети
nat on $ext_if from $int_if:network -> (tun0)

block quick inet6 all
antispoof quick for $ext_if inet
block in
#block return-rst in proto tcp
pass out keep state

# и разрешаешь свои гре и pptp
# Открываем 1723 порт и  GRE протокол для VPN-соединения
pass in on $int_if inet proto tcp from any to $bsd port 1723 keep state 
pass in on $int_if inet proto gre from $lan to $bsd keep state

# Даем доступ в интернет с FreeBSD
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto {udp,icmp} all keep state

# Разрешаем сети внутренней общаться с FreeBSD 
pass in  on $int_if from $lan to any 
pass out  on $int_if from any to $lan

# а на внутреннем интерфейсе закрываешь проход пакетов с локальной сети на внешнюю сетевку
block on $int_if from $lan to $ext_if 

# и разрешаешь с тунелей проходить везде
pass in on $int_if from $vpn to any
pass out on $int_if from any to $vpn