Система FreeBSD 6.2
Пытаюсь настроить ipfw так чтобы пользователи могли получать доступ к интернет только через vpn, vpn сервер MPD-3.18.
Проблема в следующем когда я подключаюсь по vpn из WinXP
подключение прохлдит нормально, интернет есть, но как только я отключаюсь от vpn, на WinXP проподает интернет и не пингуется ни сам vpn сервер не внешняя сеть хотя доступ к vpn серверу по ssh есть!!!Да и еще на сервере интернет тоже проподает!!! Повторное подключение ни чего не дает, все также.
Помогает только команда на сервере:
Код: Выделить всё
#sh /etc/firewall.conf /dev/null
Вот мои правила ipfw
Код: Выделить всё
#ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 divert 8668 ip from 192.168.101.0/24,192.168.100.0/24 to any out via rl0
00500 divert 8668 ip from any to 111.111.111.111 in via rl0
00600 allow log logamount 100 gre from any to any via xl0
00700 allow log logamount 100 tcp from any 1723 to any out via xl0
00800 allow log logamount 100 tcp from any to any dst-port 1723 in via xl0
01900 allow icmp from any to any via rl0
02000 allow icmp from any to any via xl0
02100 allow log logamount 100 icmp from any to any via ng\*
02200 deny icmp from any to any frag
02300 deny icmp from any to 255.255.255.255 in via rl0
02400 deny icmp from any to 255.255.255.255 out via rl0
02500 allow udp from 111.111.111.111 to 83.220.35.98 dst-port 53 out via rl0
02600 allow udp from 83.220.35.98 53 to 111.111.111.111 in via rl0
02700 allow udp from 83.220.35.98 53 to 192.168.101.0/24 in via rl0
02800 allow udp from 192.168.101.0/24 to 83.220.35.98 dst-port 53 in via xl0
02900 allow udp from 83.220.35.98 53 to 192.168.101.0/24 out via xl0
03000 allow udp from 83.220.35.98 53 to 192.168.100.0/24 in via rl0
03100 allow udp from 192.168.100.0/24 to 83.220.35.98 dst-port 53 in via ng\*
03200 allow udp from 83.220.35.98 53 to 192.168.100.0/24 out via ng\*
04000 allow tcp from 111.111.111.111 to any dst-port 1022 out via rl0
04100 allow tcp from any 1022 to 111.111.111.111 in via rl0
04200 allow tcp from any 1022 to 192.168.101.0/24 in via rl0
04300 allow tcp from 192.168.101.0/24 to any dst-port 1022 in via xl0
04400 allow tcp from any 1022 to 192.168.101.0/24 out via xl0
04500 allow tcp from 111.111.111.111 to any dst-port 22 out via rl0
04600 allow tcp from any 22 to 111.111.111.111 in via rl0
04700 allow tcp from any 22 to 192.168.101.0/24 in via rl0
04800 allow tcp from 192.168.101.0/24 to any dst-port 22 in via xl0
04900 allow tcp from any 22 to 192.168.101.0/24 out via xl0
05000 allow tcp from 111.111.111.111 to any dst-port 80 out via rl0
05100 allow tcp from any 80 to 111.111.111.111 in via rl0
05200 allow tcp from any 80 to 192.168.101.0/24 in via rl0
05300 allow tcp from 192.168.101.0/24 to any dst-port 80 in via xl0
05400 allow tcp from any 80 to 192.168.101.0/24 out via xl0
05500 allow tcp from 111.111.111.111 to any dst-port 443 out via rl0
05600 allow tcp from any 443 to 111.111.111.111 in via rl0
05700 allow tcp from any 443 to 192.168.101.0/24 in via rl0
05800 allow tcp from 192.168.101.0/24 to any dst-port 443 in via xl0
05900 allow tcp from any 443 to 192.168.101.0/24 out via xl0
06000 allow tcp from any 80 to 192.168.100.0/24 in via rl0
06100 allow tcp from 192.168.100.0/24 to any dst-port 80 in via ng\*
06200 allow tcp from any 80 to 192.168.100.0/24 out via ng\*
65000 deny ip from any to any via rl0
65100 deny ip from any to any via ng\*
65200 deny ip from any to any via xl0
65535 allow ip from any to any
vpn сеть - 192.168.100.0/24
внутренний ифейс - xl0
внешний ифейс - rl0
Это правила тестовые только для настройки!!!
Подозреваю что эта праблема с natd
Подскажите в чем может быть проблема???