# FILTER RULES
block all

# разрешим хождение по нашим VPN-интерфейсам
pass on {lo, ng0, ng1, ng2, ng3} all

pass proto icmp all

# Разрешим входящие соединения по GRE только ИП из таблицы <leonchik> и чоп не плодить
# статические правила скажем: запомнить состояние (keep state)
pass in on $ext_if proto gre from <leonchik> keep state
pass in on $ext_if proto tcp from <leonchik> to ($ext_if) port 1723 keep state

# Это самое странное правило, но без него никуды ;)
pass out on $int_if to $int_if:network