Есть ipfw + nat + Squid
Хотелось бы разрешить доступ к ip внешнему для локалной сети без прокси(напрямую).
Как такое возможно реализовать, чтобы трафик не заворачивался на сквид который на этот ip внешний идет ?
Код: Выделить всё
#!/bin/sh
ipfw='/sbin/ipfw -q'
${ipfw} -f flush
${ipfw} add 100 allow ip from any to any via lo0
${ipfw} add 110 deny ip from any to 127.0.0.0/8
${ipfw} add 120 deny ip from 127.0.0.0/8 to any
### Squid
${ipfw} add 351 fwd 172.20.0.1,3128 tcp from 172.20.0.0/16 to any 80
${ipfw} add 352 fwd 172.20.0.1,3128 tcp from 172.20.0.0/16 to any 443
#${ipfw} add 353 allow tcp from 172.20.0.1/16 to 195.209.230.144
### Allow DNS
${ipfw} add 200 allow all from any to any dst-port 53
${ipfw} add 2000 allow ip from any to any via igb1
#${ipfw} add 2001 allow ip from 192.168.188.0/24 to any in via igb1
### SSH
${ipfw} add 400 allow tcp from 192.168.188.4 to me dst-port 22
${ipfw} add 401 allow tcp from 172.20.33.1 to me dst-port 22
${ipfw} add 402 allow tcp from 172.20.0.2 to me dst-port 22
${ipfw} add 401 allow tcp from 172.20.24.2 to me dst-port 22
${ipfw} add 401 allow tcp from 172.20.24.3 to me dst-port 22
### Deny SSH & Other
${ipfw} add 441 deny udp from any to me dst-port 80
${ipfw} add 442 deny udp from any to me dst-port 161
${ipfw} add 443 deny udp from any to me dst-port 199
${ipfw} add 444 deny tcp from any to me dst-port 199
${ipfw} add 445 deny tcp from any to me dst-port 161
${ipfw} add 446 deny tcp from any to me dst-port 2605
${ipfw} add 447 deny tcp from any to me dst-port 2601
${ipfw} add 448 deny tcp from any to me dst-port 179
${ipfw} add 449 deny tcp from any to me dst-port 3306
${ipfw} add 450 deny tcp from any to me dst-port 22
### Kernel NAT
${ipfw} nat 1 config log if igb0 reset same_ports
${ipfw} add 3480 allow tcp from any to [b]195.209.230.144 [/b]out via igb0
${ipfw} add 3490 allow tcp from [b]195.209.230.144[/b] to any in via igb0
${ipfw} add 3000 nat 1 ip from any to any via igb0
почему-то считали что нат в конце правил должен быть.