natd: исключения для преобразования пула адресов

[nosferatoss]

На шлюзе стоят 3 сетевых интерфейса:
первый(em0) - смотрит в мир с "белым" адресом
второй(vr0) - в локалку аля 10.20.х.х/24
третий(ste0) - стоит для проброса пула "белых" адресов (аля 77.93.хх.хх/28), который выдал провайдер

Как вы уже наверное догадались - на сервере работает natd, но проблема в том что он натит не только локалку, но и "белые" айпы.
В ipfw прописано правило:

Код: Выделить всё

$cmd 0140 divert natd ip from any to any via em0

Если меняю правило вот таким образом:

Код: Выделить всё

$cmd 0140 divert natd ip from 10.20.0.0/24 to any via em0

то у меня пропадает связь с миром из локалки, но при этом "белые" видят мир и соответственно сами видны из мира под своими адресами.

Суть задачи состоит в том чтобы настроить natd так, чтобы он натил только локалку, но как это сделать пока никак несоображу...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[nosferatoss]

Только что проверил отключением natd в rc.conf - тоже не помогло....

[nosferatoss]

Проблему решил исправлением фаервола на такой вид:

Код: Выделить всё

----пропущено----
$cmd 0040 allow all from 77.93.хх.хх/29 to any out
$cmd 0050 allow all from any to 77.93.хх.хх/29 in
$cmd 0100 allow all from any to any via lo0
$cmd 0140 divert natd ip from 10.20.0.0/24 to any out via em0
$cmd 0150 divert natd ip from any to 80.80.80.80 in via em0
----пропущено----