-- EDIT --
Mon problème est expliqué dans mon dernier post (enfin juste avant le up). Tout en bas
 
 
-- ORIGINAL --
Donc j'ai juste foutu ca dans mon pf.conf
 

 
 
et ca marche pas, la machine ne peut pas aller sur le net (en rentrant uniquement les @ ip)
 
Note: soyez gentil, je viens juste de débuter

Les paquets partent mais ne peuvent pas revenir. Ajoute "keep state" :
 
pass out on $iext inet proto tcp from any to any port 80 keep state
pass in on $iext inet proto tcp from any to any port 80 keep state
 

Toutes tes regles du debut ne servent à rien.
 
dans block <bidule>, le <bidule> ca indique comment rejeter les paquets. Les rejeter d'une seule façon suffit, inutile de tout cumuler.
 
Remplace simplement toutes tes regles par ca :
 
block in log on $iext all
block out log on $iext all
 
pass in quick on $iloop all
pass out quick on $iloop all
 
pass out on $iext inet proto tcp from any to any port 80 keep state
 
(le pass in qui suit c'est pour que les mecs se connectent chez toi, sur ton port 80, c'est ce que tu veux ?)

ok merci.

ben en fait ça marche toujours pas !
 
je vois pas trop de koi ca peut venir.
 
help

tu veux faire du nat ?
 
car tu dis : "les machines"

le nat marche bien, c'est juste mon script pf qui foire. Je voudrais juste tout bloquer par défaut et ouvrir uniquement les ports que j'ai besoin

Tu n'as pas donné beaucoup de détails sur ton réseau.
 
Si tu as une machine derrière ton firewall (genre qui fait du NAT), il ne faut pas oublier d'autoriser tous les paquets en provenance du réseau interne.

Bon j'ai un peu avancé. maintenant ça marche. Ce qui m'intéresserait, ça serait de cibler un peu mieux la provenance
 

 
 
En fait, pour le "pop" (par ex), je voudrais que la machine 192.168.1.1 ait  uniquement le droit de poper ses mails. lorsque je met any, ça marche mais si je remplace any par 192.168.1.1, ca marche plus.

UP