PF 中的 NAT 和源 IP 过滤，使用 OpenBSD >= 4.7

我刚刚读了一本关于 PF 的书（The Book Of PF, No Starch），但有一个问题没有得到解答。

match如果我有一台使用两个接口 $int_if 和 $ext_if 的网关计算机，并且当应用 NAT 时，我使用 NAT 将来自 $int_if:net （比方说，10.0.0.0/24）的包转换为 $ext_if ？过滤规则之前还是之后？

例子：

match out on $ext_if from 10.0.0.0/24 nat-to ($ext_if)
pass out on $ext_if from 10.0.0.0/24
block drop out on $ext_if from 10.0.0.23

那样有用吗？或者在检查数据包是否来自 10.0.0.23 之前获取来自 10.0.0.23 NAT 到 $ext_if 地址的数据包的源 IP？

我认为这个图对回答这个问题没有帮助，但它仍然很有趣：[http://www.benzedrine.cx/pf_flow.png]

如果您阅读 PF NAT 常见问题解答 [http://www.openbsd.org/faq/pf/nat.html]，尤其是“配置NAT”部分，你会遇到这样的句子：

当通过匹配规则选择数据包时，该规则中的参数（例如，nat-to）将被记住，并在达到与数据包匹配的通过规则时应用于该数据包。这允许通过单个匹配规则处理整个类别的数据包，然后可以使用阻止和通过规则做出是否允许流量的具体决策。

我认为这听起来不像我在上面一段中所说的那样，因此源 IP 会被“记住”，直到决定对数据包执行的操作为止。如果做出了决定，则应用 NATting。

你怎么认为？

PS：这是一个相当理论化的问题。如果你有点务实，你会这样做：

match out on $ext_if from 10.0.0.0/24 nat-to ($ext_if)
block drop from 10.0.0.23
# or, explicitly,
# block drop in on $int_if from 10.0.0.23

block因此，当数据包进入 $int_if 时，该规则就已经应用。

编辑：当然，另一种可能性是在 NAT 之前决定：

pass from 10.0.0.0/24
block drop from 10.0.0.23
match out on $ext_if from 10.0.0.0/24 nat-to ($ext_if)

如果来自 .23 的数据包到达，它首先匹配第一条规则，然后匹配第二条规则和第三条“规则”。但由于第二条规则是最后决定通过/阻止的规则，因此数据包会被阻止。正确的？