Я не могу настроить Pf шлюза OpenBSD

У меня есть сервер OpenBSD, который я хочу использовать в качестве шлюза. Сервер OBSD имеет следующие интерфейсы -

1. em5 (130... ** ext.IP с подключением к Интернету)
2. em0 (внутренний IP - 172.16.0.0/17)

Мой шлюз по умолчанию - 130...1 и доступен через ping.

Цель состоит в том, чтобы передавать трафик NAT между 172.16.0.0/17 и 130... ** сети, чтобы клиенты с IP-адресом 172.16. * могли получить доступ в Интернет.

Команда route показывает, что шлюз установлен правильно.

ns1# route show
Routing tables

Internet:
Destination        Gateway            Flags   Refs      Use   Mtu  Prio    Iface
default            130.**.**.1      UGS        4     5293     -     8 em5 

Я могу получить доступ в Интернет с этого сервера OpenBSD.

Теперь в OBSD включена пересылка.

ns1# sysctl -a|grep forwarding
net.inet.ip.forwarding=1

pf имеет следующую конфигурацию.

ext = "em5"
priv = "em0"
table <martians> { 0.0.0.0/8 10.0.0.0/8 127.0.0.0/8 169.254.0.0/16     \
               172.16.0.0/12 192.0.0.0/24 192.0.2.0/24 224.0.0.0/3 \
               192.168.0.0/16 198.18.0.0/15 198.51.100.0/24        \
               203.0.113.0/24 }

set block-policy drop
set loginterface egress
set skip on lo0
match in all scrub (no-df random-id max-mss 1440)
match out on egress inet from !(egress:network) to any nat-to (egress:0)
antispoof quick for { egress $ext $priv}
#block in quick on egress from <martians> to any
block return out quick on egress from any to <martians>
block all
pass out quick inet
pass in on { $ext $priv} inet
pass in proto tcp to port 22 keep state

Эта установка, которая раньше работала, перестала работать после нескольких изменений, которые я уже отменил. Я изо всех сил пытаюсь понять, что останавливает этот трафик NAT.

OpenBSD может общаться с Интернетом.

Узлы в частной сети могут нормально общаться друг с другом.

Но узлы не могут получить доступ к Интернету.

Как я могу решить эту проблему?

Я пробовал следующее и пока не смог:

• Перезагрузите сервер OBSD
• отключите pf, попробуйте снова включить его.
• подождал несколько часов после перетасовки кабеля, думая, что это какой-то кеш, который блокирует новые записи.
• добавил еще один общедоступный интерфейс в другом н / б и изменил шлюз по умолчанию на тот.

Все вышеперечисленное не позволило получить доступ в интернет во внутреннюю сеть.

У кого-нибудь есть идеи, что здесь может происходить?

Дополнительная информация: pfctl -sr оказывается пустым.

ns1# pfctl -sr
ns1#

ОБНОВЛЕНИЕ: запрос @chuckx для pfctl -sr побудил меня заставить pf перечитать свой файл конфигурации, и теперь он, кажется, выполняет свою работу, и пересылка трафика работает!