Две сети ipfw и natd (Толковое объяснение проблемы)

[CAMOJIET]

Делаю связь между двумя сетями - впн уже стоит и все с ним хорошо
Одна сеть на интерфейсе ng0(192.168.20.150) вторая на fxp0(192.168.38.59) надо чтобы из этих сетей можно было пинговать друг друга.(Ну и не только пинговать) - я решил делать это натом. Я морочил голову почему у меня ничего не работает все оказалось банально - неправильно настроил фаервол - взял карандашик бумаги и....
Вот как я и пришел в тупик.
Связь между 38-20
1)allow all from 192.168.38.0/24 to 192.168.20.0/24 in via fxp0 - чтобы пакеты могли приходить на ipfw
---> По табл марш. Пакет идет на ng0
2)divert 8661 all from 192.168.38.0/24 to 192.168.20.0/24 out via ng0 перебиваем адрес отправителя <--------------------1
3)allow all from 192.168.20.150 to 192.168.20.0/24 out via ng0 отпускаем пакет - пакет ушел
Ждем пакет обратно
4)divert 8661 all from 192.168.20.0/24 to 192.168.20.150 in via ng0 встречаем дивертом
5)allow all from 192.168.20.0/24 to 192.168.38.0/24 in via ng0 отпускаем в систему
6)allow all from 192.168.20.0/24 to 192.168.38.0/24 out via fxp0 отпускаем пакет - пакет ушел<-------------------------2
А теперь проброс в другую сторону.
7)allow all from 192.168.20.0/24 to 192.168 to 192.168.38.0/24 in via ng0 Пропускаем от 20 ой сети
divert 8662 all from 192.168.20.0/24 to 192.168.38.0/24 out via fxp0 перебиваем адрес отправителя<-----------------2
9)allow all from 192.168.38.59 to 192.168.38.0/24 out via fxp0 отпускаем пакет - пакет ушел
10) divert 8662 all from 192.168.38.0/24 to 192.168.38.59 in via fxp0 Встречаем обратно
11) allow all from 192.168.38.0/24 to 192.168.20.0/24 in via fxp0 Отпускаем в систему
12) allow all from 192.168.38.0/24 to 192.168.20.0/24 out via ng0 Отпускаем в сеть. <------------------------------1

Правила 1 мешают друг другу и такая же ситуация с правилами 2. Как разрулить ??????
PS
8661 - nat ng0
8662 - nat fxp0

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[schizoid]

пакет при НАТе проходит 2 раза правила фаервола.
подробнее тут: http://nuclight.livejournal.com/124348.html

[CAMOJIET]

Ну да 2 раза. Тут с учетом этого правила

[schizoid]

намалюй картинку, шота не вдуплю

[Nix86]

походу надо просто диверты убрать, зачем их вообще натить?

[CAMOJIET]

Хочу сделать нат в две стороны по двум интефресам
Проблема в том что я не могу отличить пакеты которые возвращаются после того как отнатились и пакеты которые только идут натиться в обратном направлении и то и другое from 192.168.20.0/24 to 192.168.38.0/24 out via [ng0|fxp0]

to Nix А как пакет с 192.168.20.0/24 попадет в 192.168.38.0/24?

[Nix86]

Ну так и пройдёт. Маршрутизация называется. Если в обеих сетях шлюз по умолчанию стоит на эту машину, то просто убери диверты.

[CAMOJIET]

Спасибо.Огромное спасибо.