FreeBSD 7.2 release IPFW + Kernel NAT

[FujitsuSiemens]

Здравствуйте!
Помогите пожалуйста разобраться в следующем:
Есть комп-роутер FreeBSD на нем 2 сетевых адаптера один смотрит во внутреннюю сеть em0 другой во внешнюю em1 из внутренней сети есть доступ во внешнюю с филтрацией по портам и с использованием NAT, все работает как надо за исключением того, что не могу создать правило, чтобы разрешить PING со стороны внешней сети, и чтобы при этом PING работал из внутренней сети. Тоесть, чтобы можно было пинговать комп-роутер,
если же я создаю такое правило относящиеся к интерфейсу em1 и указанным протоколом ICMP то это правило начинает корректно работать относительно того кто пингует с внешней сети, НО после этого из внутренней сети нельзя уже воспользоваться PING(ом) так как пакет (icmp) успешно выходит из внутренней сети (натится), но! не успешно попадает под правило созданное мной - не достигая правила NAT и следовательно пакет приходит до компа-роутера (в правило icmp которое стоит выше правила NAT), но не отдается во внутреннюю сеть.
ТОБИШЬ ДВА ВЫБОРА либо пинг идет до роутера либо для пользователя во внутреннюю сеть.
Не подскажите как бы такое правило запихать, чтобы не задивать (не пересекать) выход icmp из внутренней сети.
Не знаю может я кубик рубик сделал себе ), ну некорректно изначально создал правила, хотя делал и по другому, выходило тож самое.
firewall config -- с этими правилами пинг идет только из внутренней сети во внешнюю.

Код: Выделить всё

# em1 WAN(смотрит во внешнюю сеть) 
# em0 LAN (смотр. во внутреннюю сеть) 

add 300 allow ip from 192.168.0.0/24 to any 53,80,443,110,9730 in via em0 
add 310 allow ip from any 53,80,443,110,9730 to 192.168.0.0/24 out recv em1 xmit em0 
add 320 allow icmp from any to any via em0 
add 330 allow tcp from 192.168.0.0/24 to me in recv em0 keep-state 
# правила для внутренней сети- фильтрация на выход, и в какой то мере на вход. 

nat 1 config log if em1 reset same_ports deny_in unreg_only 

add 750 nat 1 ip from any to any via em1 

add 900 allow all from any to any via em1

P.S. думаю вряд ли понадобятся еще другие конфиги, но если будут необходимы, пишите выложу.
P.S. я новичок в Unix системах, буквально 3 дня удилить успел FreeBSD, помогите пожалуйста добрые люди
Спасибо.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zar0ku1]

пропиши это правило ниже заворота на нат и вида:

Код: Выделить всё

ifpw add 1000 allow icmp from any to any icmptypes 0,8,11 via em1

[FujitsuSiemens]

Спасибо, что ответили, но когда я увидел то подумав сразуже понял, что не поможет так как пакет приходящий из внешней сети (кем либо) попадает палюбому сразу же в NAT, а нат смотрит сопоставление если же его нету то он удаляет пакет, что и происходит и дальше он не куда не движется, тоесть не доходит до правила которое вы предложили дописать я вообще озадачился, что то... все как то душно получается нат всех убивает (всех кто из внешней сети не причастестный к внутренней сети) и получается мне самому ничего из вне не разрешить так как правило NAT должно стоять самым первым на внешнем интерфейсе так как пакет приходящий (инициатором внутренней сети) должен в NAT попасть если он не попадет он попрусту попадет на роутер - машину FreeBSD и не будет фарвардинга, и различить пакеты не возможно NAT же маскирует когда идет отправка на свой адрес (внешний адрсе машины роутера).

[FujitsuSiemens]

вобщем я решил проблему
убрав из ната настройку deny_in.
теперь нат не убивает пакет а отдает дальше в фоерволл, что мне и нужно было ).
Тема закрыта.