[BSD] PF nat és filter

[Péchy Gáspár]

On 2012.02.13. 18:39, Gabor HALASZ wrote:
> On 2/13/2012 5:22 PM, Péchy Gáspár wrote:
>> Szervusztok,
>> egy kis segítségre lenne szükségem tisztázandó néhány ellentmondást.
>> A PF műveletek végrehajtási sorrendjére több helyen is az alábbinak
>> megfelelő infót kaptam:
>>
>> 'Filtering is performed before Network Address Translation (NAT) for
>> transmitted datagrams, and after NAT for received datagrams. This allows
>> you to filter on the "Actual LAN Address" as opposed to the "Apparent
>> Gateway Address".'
>>
>> Ez érthetőnek, s logikusnak tűnik, de ellentmodani látszik
>> tapasztalatomnak:
>
> Nem, felreerted. Miert nem az eredeti dokumentaciot olvasod, ahol erhetoen leirjak, hogyan mukodik a
> nat: http://www.openbsd.org/faq/pf/nat.html#works? Ha a fenti izeben ertelmet akarsz keresni, akkor
> az actual lan address nevu ertelmetlensegen a forgalmazo halozati kartya ip cimet ertsed, es
> mindjart jo lesz a ruleset-ed. De inkabb olvasd el a linket :)
>
Basszus, olvastam, de átsiklottam a példa részletei felett, ami közvetett módon megmondja, hogy a 
filter a NAT GW után dolgozik :
match out on interface [af] \
    from src_addr to dst_addr \
    nat-to ext_addr [pool_type] [static-port]
...
pass out [log] on interface [af] [proto protocol] \
    from ext_addr [port src_port] \
    to dst_addr [port dst_port]

Köszönöm :)
Gazsi