n  nat – обычную трансляцию;

n  rdr – пакет перенаправляется на любой порт и любой хост. Маленькое дополнение: если пакет перенаправляется во внутренную сеть, то помимо rdr надо сделать и nat для хоста, который будет отвечать во внешний мир на данные перенаправленные пакеты.

Пример:

rdr on em1 inet proto tcp to port 80 -> $web_server port 80

Фильтрация пакетов

Фильтрация протекает стандартно – создаются правила.

Правила могут иметь 2 результата:

n  block – пакет будет отброшен, используя следующие способы:

n  drop – пакет просто удаляется и никаких данных в ответ не посылается.

n  return-rst – только для TCP-пакетов, отсылается пакет с флагом RST, который прекращает соединение немедленно.

n  return-icmp (return-icmp6) – возвращается сообщение ICMP UNREACHABLE, однако данное значение можно переопределить любым кодом ошибки ICMP-протокола.

n  return – автоматически TCP RST будет возвращен для TCP-пакетов и ICMP UNREACHABLE для UDP- и других протоколов.

n  pass – пакет будет пропущен фильтром.

Если ни одно правило не подходит, то пакет будет пропущен.

Итак, параметры фильтрации:

n  in или out – пакет идет к нам или от нас соотвественно. Если не определено, то считается, что направление двухстороннее.

n  log – записывать информацию о пакетах, однако будут записаны только пакеты, которые попадают в «состояния».

n  log-all – записывать информацию о всех приходящих пакетах, независимо от того, попал он в state или нет.

n  quick – если пакет попадает под это правило, то дальнейшие правила не применяются. Полезно, например, использовать с таблицей <badhosts>.

n  on <interface> – правила применяются только в случае, если пакет идет с указанного интерфейса.

n  proto <protocol> – правила применяются только к пакетам данного протокола. Например, ICMP, TCP, UDP. Полный список протоколов находится в /etc/protocols.

from <source> port <sourceport> to <dest> port <destport>

Примерно понятно? Откуда, с какого порта, куда, на какой порт.

Опции следующие:

n  any – любой адрес.

n  no route – адреса, которые вне таблицы роутинга.

n  <table> – адреса из таблицы «table».

Порты могут указываться с использованием стандартных операторов (=, !=, <, <=, >, >=, :, ><, <>).

n  flags <a>/<b> | <b> – данные правила применяются только для пакетов с установленными флагами <a> перед флагами <b>. Флаги F(IN), S(YN), R(ST), P(USH), A(CK), (U)RG, E(CE), C(W)R.