FreeBSD 9.2 и Natd

[Dimasx]

Не натится клиентская машина
1. uname -a
FreeBSD 9.2-BETA2 #1 r253835M:

2. Параметры в ядре:

Код: Выделить всё

options LIBALIAS
options IPFIREWALL
options IPFIREWALL_FORWARD
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=50
options IPFIREWALL_NAT
options IPDIVERT
options DUMMYNET
options IPFILTER
options IPFILTER_LOG
options LIBICONV
options QUOTA
options HZ=”1000”

3. rc.conf

Код: Выделить всё

ifconfig_em0=" inet 192.168.0.1"
ifconfig_em1=" inet 213.1.1.1"
ifconfig_vxn0="dhcp"
defaultrouter="213.1.1.2"
gateway_enable="YES"
sshd_enable="YES"
natd_enable="YES"
natd_interface="em1"
natd_flags="-f /etc/natd.conf"
firewall_enable="YES"
firewall_script="/etc/firewall"
em0 - внутренний интерфейс 192.168.0.1
em1 - внешний интерфейс 213.1.1.1
шлюз - 213.1.1.2

4. sockstat | grep 8668
root natd 1044 3 div4 *:8668 *:*

5. cat /etc/firewall

Код: Выделить всё

# Вводим переменные
fwcmd="/sbin/ipfw -q"
LanIn="em0"
LanOut="em1"
IpIn="192.168.0.1"
IpOut="213.1.1.1"

# Сбрасываем все правила
${fwcmd} -f flush

# Запрещаем доступ к следующим сетям
${fwcmd} add pass all from any to any via lo0
${fwcmd} deny ip from any to 127.0.0.0/8
${fwcmd} deny ip from 127.0.0.0/8 to any

# рубим фрагментированные icmp
${FwCMD} add deny icmp from any to any frag

# рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

# Разрешаем все установленные соединения
${fwcmd} add allow tcp from any to any established

# Разрешаем серверу выходить в инет
${fwcmd} add allow ip from me to any

# Разрешаем VPN соединение

${fwcmd} add allow ip from any to any dst-port 1723
${fwcmd} add allow gre from any to any


# Разрешаем VPN клиентам все

${fwcmd} add allow ip from 192.168.0.2 to any
${fwcmd} add allow ip from 192.168.0.3 to any
${fwcmd} add allow ip from 192.168.0.4 to any

# Разрешаем DNS снаружи
${fwcmd} add allow udp from any 53 to any

# разрешаем UDP
${fwcmd} add allow udp from any to any 123

# Разрешаем некоторые типы ICMP трафика - эхо-запрос,
${fwcmd} add allow icmp from any to any icmptypes 0,8,11

# NAT
${fwcmd} add allow ip from any 8668 to any
${fwcmd} add divert natd ip from 192.168.0.5 to any out via ${LanOut}
${fwcmd} add divert natd ip from any to ${IpOut} in via ${LanOut}

ipfw show

0100 0 0 divert 8668 ip from 192.168.0.5 to any out via em1
0200 1 437 divert 8668 ip from any to 213.1.1.1 in via em1

На сервере с 8.2 все работает... не пойму в чем проблема ?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[DocenT]

что то у тебя в ядре много всего
Без этого вполне можно обойтись

Код: Выделить всё

options LIBALIAS
options IPFIREWALL_NAT
options IPFILTER
options IPFILTER_LOG

для NATD достаточно

Код: Выделить всё

options IPFIREWALL
options IPFIREWALL_FORWARD
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=50
options IPDIVERT

Возможно IPFILTER режет трафик