@MSGID: grosbein.net 8161394e
@REPLY: 2:5034/10.1 1f6076bc
@RFC-Reply-To: eugen@grosbein.net
@RFC-X-newsgroup: nkz.fido.ru.unix.bsd
@RFC-X-RealName: Eugene Grosbein
09 февр. 2026, понедельник, в 12:12 NOVT, Sergey Anohin написал(а):

  SA> А фундаментально, что дает опция tunnel? В том плане если и
без нее работает.
 SA> Или типа должно быть наоборот? Без нее не должно работать?

Из man ipsec:

     To properly filter on the inner packets of an ipsec tunnel with
     firewalls, you can change the values of the following sysctls

     Name                             Default    Enable
     net.inet.ipsec.filtertunnel      0          1
     net.inet6.ipsec6.filtertunnel    0          1

Успешно расшифрованные входящие пакеты по дефолту считаются
доверенными и не пропускаются через пакетные фильтры,
а доставляются сразу. Переключение filtertunnel в 1 включает
фильтрацию таких входящих пакетов после расшифровки.

Eugene
-- 
Прекрасны тонко отшлифованная драгоценность; победитель, раненный в бою;
слон во время течки; река, высыхающая зимой; луна на исходе; юная женщина,
изнуренная наслаждением, и даятель, отдавший все нищим. (Дхарма)
--- slrn/1.0.3 (FreeBSD)
 * Origin: RDTC JSC (2:5006/1@fidonet)
SEEN-BY: 50/22 109 104/117 221/6 301/1 341/66
450/1024 460/58 463/68 5000/111
SEEN-BY: 5003/17 5006/1 8 9 5015/42 46 5019/40
400 5020/113 545 715 830 848
SEEN-BY: 5020/1042 2332 2992 4441 12000 5022/128
5030/49 115 500 1081 1474
SEEN-BY: 5030/1900 5053/51 5054/89 5058/104 5061/133
5080/31 102 172 245
SEEN-BY: 5083/1 444 6078/80 6090/1
@PATH: 5006/1 5080/102 5030/49 5020/1042 4441