Průchod paketů přes PF?

[Milan Lysa]

Dobrý den,

Mám firewall FreeBSD 5.3-RELEASE + PF:

+--------+         +----------+         +----------+
| Switch |---- rl0 | PF + NAT | rl1 ----| Internet |
+--------+         +----------+         +----------+
|
+-- 192.168.1.10
+-- 192.168.1...

Pokud v pravidlech PF používám redirect portů

rdr on $ext_if proto {tcp, udp} from any to $ext_if \
	port $tcp_services -> $pc12

nestačí povolit:

pass in on $ext_if inet proto tcp from any to ($ext_if) \
port $tcp_services flags S/SA keep state

ale musím povolit i průchod paketů s vnitřní IP na vnějším rozhraní:

pass in on $ext_if inet proto tcp from any to $pc12 \
port $tcp_services flags S/SA keep state

Proč?
Pokud nechám vypisovat tcpdump na vnějším rozhraní, jsou ip adresy správné (taková jakou má vnější rozhraní + port dle NATu).

Přeji pěkné čarodějnice.
Milan Lysa