Почему не работает правило блокировки?

Linux freebsd pf

В начале конфига разный nat правила. Правила фильтрации вот:
pass out all #по умолчанию разрашить все, что не запрещено
block in on $ext_interface from any to $server #запретить весь входящий траффик извне на $server (в переменной $server внешний адрес сервера)

Это все правила фильтрации. Так вот, блокирующее правило полностью игнорируется. Не могу понять почему. При чем pf это правило подгружает, что наглядно показывает вывод pfctl -sr

FreeBSD версии 9.0 relase. PF собран в ядро со след. опциями:
options ALTQ
options ALTQ_CBQ
options ALTQ_RED
options ALTQ_RIO
options ALTQ_HFSC
options ALTQ_PRIQ
options ALTQ_NOPCC

Примечание:
Юрий, не совсем так. В pf правила обрабатываются свехру вниз и применяется последнее подходящее к пакету правило. Исключение - директива quick. Тогда применяется первое подходящее правило с такой директивой.
Пруф: http://www.openbsd.org/faq/pf/ru/filter.html
Впрочем, менять местами я тоже пробовал - не помогает.
Ответы:
Дык, правила обрабатываются в порядке их поступления. Если в первой строчке ты разрешил уже, то вторая строчка не выпоняется. Переставь местами их.
Да, pf такой. В своё время я тоже написал красивый и логичный свод правил, а потом так и не понял почему же оно не работает как написано :)


13 лет назад

RPI.su - самая большая русскоязычная база вопросов и ответов. Наш проект был реализован как продолжение популярного сервиса otvety.google.ru, который был закрыт и удален 30 апреля 2015 года. Мы решили воскресить полезный сервис Ответы Гугл, чтобы любой человек смог публично узнать ответ на свой вопрос у интернет сообщества.

Все вопросы, добавленные на сайт ответов Google, мы скопировали и сохранили здесь. Имена старых пользователей также отображены в том виде, в котором они существовали ранее. Только нужно заново пройти регистрацию, чтобы иметь возможность задавать вопросы, или отвечать другим.

Чтобы связаться с нами по любому вопросу О САЙТЕ (реклама, сотрудничество, отзыв о сервисе), пишите на почту [email protected]. Только все общие вопросы размещайте на сайте, на них ответ по почте не предоставляется.