[Antipiratik]

Будет сеть построена как показано на рисунке


Настроен сквид с транспарентным портом.
Вот перед непосредственным внедрением подготовил pf.conf посмотрите свежим взглядом, есть ли косяки?!

Цель: весь http-трафик заворачиваем на сквид и его фильтруем sams/
Остальной трафик, всем разрешить локалку провайдера (тут тоже мне непонятно как организовать, т.к. для фрибсд следующий роутер циска), всем разрешить почту по портам.
випам разрешить всё, остальным ничего (http разрешить, т.к. сквид сам раскидает кому что)

Код:

# Локалка (192.168.1.2)
int_if="xl0"

# Вторая сетевая карта Мир (192.168.2.2)
ext_if="bge0"

# LAN (локальная сеть)
lan_net="{ 192.168.1.0/24 }"
# Локалка провайдера
local_net="{10.0.0.0/8}"
cisco_net="{192.168.2.0/24}"

# Разрешено всё
table <VIPusers> { 192.168.1.162, 192.168.1.61 }
# Всё запрещено кроме SQUID
table <users>{ 192.168.1.163 }

NoRouteIPs = "{ 127.0.0.0/8 }"
set block-policy drop
set skip on lo0

block all

# Натим VIP 
nat on $ext_if from $VIPusers to any -> ($ext_if) 

# Открытые порты для mail
nat pass on $ext_if from $lan_net to any port 25 -> $ext_if
nat pass on $ext_if from $lan_net to any port 110 -> $ext_if
nat pass on $ext_if from $lan_net to any port 955 -> $ext_if

# Разрешена локалка провайдера всем
nat on $ext_if from $lan_net to $local_net -> ($ext_if) 

# Заворачиваем весь и от всех http-трафик на SQUID
rdr inet proto tcp from $lan_net to any port www -> 127.0.0.1 port 3128

# ssh
pass in quick on $int_if proto tcp from $lan_net to $int_if port ssh

Пожалуйста, посмотрите и попинайте, т.к. при "внедрении" будет тяжко Спасибо.