Ситуация следующая:
Пытаюсь организовать НАТ + фильтрацию пакетов. Топология:
#Клиент 192.168.10.2#-------#em1 192.168.10.1 FreeBSD-NAT-FW 10.0.0.1 em0#-----------#10.0.0.2 Inet#
1.Клиент должен пинговать внешний адрес 10.0.0.2
2. С адреса 10.0.0.2 должен быть пинг на 10.0.0.1
Проблема в том, что пинг приходящий из 10.0.0.2 к 10.0.0.1 заворачивается в нат, хотя в конфиге ната явно указанно deny-in. Кто знает почему это происходит?
правила:
Код: Выделить всё
ipfw -q -f flush
ipfw add allow icmp from 192.168.10.0/24 to any via em1
ipfw nat 1 config if em0 deny_in
ipfw add nat 1 ip from 192.168.10.0/24 to any via em0
ipfw add nat 1 ip from any to 10.0.0.1 in via em0
ipfw add allow icmp from any to 10.0.0.1 keep-state # Почему правило заваричается в НАТ ?
one_pass=1