работа с pf (пара вопросиков)

[aliens]

вот начал изучать PF, делаю шлюз с биллингом старгейзер.

Возникла пара вопросов:
1. на шлюзе стоит ДНС сервер, как мне правильно реализовать прохождение ДНС запросов?
сделал так (но незнаю работает или нет)

Код: Выделить всё

pass in on $int_if proto tcp to $int_if port domain keep state
pass proto udp to any port domain keep state
pass out proto tcp to any port domain keep state

$int_if внутренний интерфейс

2. как правильно сделать НАТ? а то прочитал в 1 мане,что если сделан НАТ,то нету првоерки на правила фильтрации.

3. Как на ходу добавлять/удалять правила в фаервол? а то биллинг должен на ходу добавлять правила разрешения..

Спасибо

[h0RN]

1. Вместо domain надо 53.
2. Вот к примеру:

Код: Выделить всё

nat pass on rl1 inet proto { tcp, udp, icmp } from 10.10.0.1 to any -> (rl1)

3. pf позволяет "на ходу" обновлять вновь измененные правила. Изменили файл с правилами, потом pfctl -f /путь/к/правилам

[aliens]

h0RN
а почему надо 53 порт а не domain? да и так правильно что надо 3 правила?

а пункт второй как я и написал? обходит правила фильтрации?
а пункт 3 вы ен поняли,мне надо добавлять 1 правило в список основных. т.е. у меня при запуске загружается список правил. потом когда челвоек конектится.должно добавляться правило для него.
А то pfctl -f как я понимаю полное заменяет все правила на правила из файла

[Kotjara]

Ну почему народ никогда не пользуется документацией и поиском?
Посмотрите хотя бы здесь

[aliens]

вроде со всем разобрался... осталось только 1. Мне надо НАТить ИП,после выполнения скрипта,я как понимаю надо его просто добавлять в таблицу? и также удалять.... так?

[WarlorD]

ну да, просто делай pfctl -t for_nat -Tadd и твой ip, ну и -Tdelete соответсвенно.