История изменений
Исправление beastie, (текущая версия) :
match можно заменить на pass, но суть не в этом. ;)
Педагогической целью было показать, что pf сам прекрасно умеет разворачивать правила. Это вам не iptables. :D
Наример вот эта одна строчка:
pass in on {$int} inet proto {tcp, udp} to !(self)
pass in on re1 inet proto tcp to !(self)
pass in on re1 inet proto udp to !(self)
pass in on nfe0 inet proto tcp to !(self)
pass in on nfe0 inet proto udp to !(self)
Т.о. твой конфиг можно переписать с 184-и строк в 50 (а то и меньше). И тебе это будет проще понимать/поддерживать, и места для ошибок/опечатак меньше. Да и просто это будет приятней читать.
В обем, остеригайся ненужной избыточности. :)
Исходная версия beastie, :
match можно заменить на pass, но суть не в этом. ;)
Педагогической целью было показать, что pf сам прекрасно умеет разворачивать правила. Это вам не iptables. :D
Наример вот эта одна строчка:
pass in on {$int} inet proto {tcp, udp} to !(self)
pass in on re1 inet proto tcp to !(self)
pass in on re1 inet proto udp to !(self)
pass in on nfe0 inet proto tcp to !(self)
pass in on nfe0 inet proto udp to !(self)
Т.о. твой конфиг можно переписать с 184-и строк в 50 (а то и меньше). И тебе это будет проще понимать/поддерживать, и места для ошибок/опечатак меньше. Да и просто это будет приятней читать.