看 pf-faq 文档时遇到疑问

congli

没头没尾的

kisswen

我觉得楼主的意思是在问这个
nat 比rules优先，pf会先执行nat
那么在规则中的源ip就应该是经过nat转换后的ip，不知楼主是不是这个意思？


应该搞清楚机器上哪个网卡是对外，哪个网卡是对内
然后才能分清规则中的in和out是什么方向以及源地址目的地址

congli

[Kernel] -- out --> fxp0
nat 规则应用在外网卡上(fxp0).

# default deny
block on { fxp0, fxp1, dc0 } all

# filter rules for fxp0 outbound
pass out on fxp0 from $int_nets to any keep state
pass out on fxp0 from $boss to any keep state queue boss_ext

如没有这两行,包又怎能到达fxp0.

kisswen

其实我也不是很清楚，有点糊涂
这里的out和in是相对于什么来说的应该搞清楚……
这里随便请大牛指点
所有方向都相对于kernel还是相对于接口
我的理解pf好像是相对于kernel
就是说in是外界流向服务器的包
out是服务器流出去的包