[FUG-BR] Duvidas com PF

[Diogo Dalfovo]

Bom dia pessoal!!!

A um bom tempo atras eu ja tinha recorrido  lista por uma duvida parecida,
mas gostaria de saber se é possivel eu fazer o filtro de uma regra binat?
Ex:

# ---- Redireionamento bidirecional para email
binat on $ext_if from 192.168.0.12/32 to any -> x.x.x.244/32    --> BRT
binat on $ext_if2 from 192.168.0.12/32 to any -> y.y.y.226/32  --> Embratel

....
Bloqueia tudo por padrao
block in log on $ext_if
block in log on $ext_if2
....
pass in log quick on $ext_if2 proto tcp from any to y.y.y.226 port 22 keep
state --> não libera conexão ssh do binat. O ssh esta sendo usado apenas
como exemplo
...
pass in log quick on $ext_if2 proto tcp to $ip_ext2_alias0 port 22 keep
state \
                   (max-src-conn 3,max-src-conn-rate 5/3, overload
<bruteforce> flush global) label "Acesso SSH Embratel" --> acessa normal FW
$ip_ext2_alias0 = y.y.y.227

pass in log quick on $ext_if proto tcp to $ip_ext port 22 keep state \
                   (max-src-conn 3,max-src-conn-rate 5/3, overload
<bruteforce> flush global) label "Acesso SSH BRT" --> acessa normal FW
$ip_ext = x.x.x.242


Agora se eu alterar a regra do binat para:
binat pass on $ext_if from 192.168.0.12/32 to any -> x.x.x.244/32
binat pass on $ext_if2 from 192.168.0.12/32 to any -> y.y.y.226/32

Funciona 100%, poderia deixar assim mas gostaria de deixar passar somente
algumas portas é possivel sem ter que deixar passar tudo na regra do binat?
Obs: Infelizmente não foi possivel "ainda" colocar o servidor de email em
uma DMZ.

E o contrario  tb deixando o binat com pass e tentando bloquear o acesso tb
não funcionou.

Diogo Dalfovo