Открыть порты в IPFW

[klaster]

Проблема такая, у меня имееться рутер на Freebsd 8.1 stable.
С двумя сетевыми картами прописанными в rc.conf

Код: Выделить всё

ifconfig_nfe0="ether 00:xx:xx:xx:xx:xx"
ifconfig_nfe0_alias0="xx.xx.227.101 netmask 255.255.254.0 -rxcsum"
defaultrouter="xx.xx.226.1"
ifconfig_rl0="inet 192.168.1.1 netmask 255.255.255.0"
ifconfig_rl0_alias0="inet 192.168.1.4 netmask 255.255.255.0"

IPFW

Код: Выделить всё

firewall_enable="YES"
firewall_type="/etc/firewall"
gateway_enable="YES"
firewall_logging="YES"

Файл firewall :

Код: Выделить всё

add 1010 allow ip from any to any via rl0
add 1020 deny ip from any to 192.168.0.0/16 in recv nfe0
add 1030 deny ip from 192.168.0.0/16 to any in recv nfe0
add 1040 deny ip from any to 172.16.0.0/12 in recv nfe0
add 1050 deny ip from 172.16.0.0/12 to any in recv nfe0
add 1060 deny ip from any to 10.0.0.0/8 in recv nfe0
add 1070 deny ip from 10.0.0.0/8 to any in recv nfe0
add 1080 deny ip from any to 169.254.0.0/16 in recv nfe0
add 1090 deny ip from 169.254.0.0/16 to any in recv nfe0
#nat 1 config log ip xx.xx.xx.101 reset same_ports deny_in
add 10100 nat 1 ip from any to any via nfe0
#add 65534 deny all from any to any // Если открываю это правило интернет падает.

Мой локальный адресс машинны Win Xp 192.168.1.2. Необходимо открыть порты для всей локальной сети 80, 22, 25. Какое правило необходимо добавить чтоб реализовалась эту проблема ??? (Очень много примеров из нета перебробывал эффект нулевой)

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[rmn]

#nat 1 config log ip xx.xx.xx.101 reset same_ports deny_in

Код: Выделить всё

nat 1 config log ip xx.xx.xx.101 reset same_ports deny_in redirect_port tcp 192.168.1.2:80 80 redirect_port tcp 192.168.1.2:22 22

#add 65534 deny all from any to any // Если открываю это правило интернет падает.

net.inet.ip.fw.one_pass должна быть 1, иначе после правил nat, pipe надо добавлять allow

[klaster]

nat 1 config log ip xx.xx.xx.101 reset same_ports deny_in redirect_port tcp 192.168.1.2:80 80 redirect_port tcp 192.168.1.2:22 22

net.inet.ip.fw.one_pass должна быть 1, иначе после правил nat, pipe надо добавлять allow

Пробую пременить это правило ни чего не помогает, интернет падает и все.

Какие ещё есть варианты ???

[klaster]

Проблема решена, оказалось что в верси 8.1 есть проблемка :

В версии FreeBSD 8.1-RELEASE не работает параметр sysctl one_pass - трафик после прохода через нат возвращается обратно в фаервол. Чтобы избавиться от этой неприятности надо делать правило "allow all from any to any" после правила ната. Эту проблему должны будут исправить в релизе 8.2.

Надо просто сделать

Код: Выделить всё

nat 1 config log ip xx.xx.xx.101 reset same_ports deny_in
add 10100 nat 1 ip from any to any via nfe0 
add 10200 allow all from any to any

Что то такое и будет у вас все порхать а портики пробрасывайте по своему вкусу.
Пример :

Код: Выделить всё

nat 1 config log ip xx.xx.xx.101 reset same_ports deny_in redirect_port tcp 1.2.3.4:6881 6881

Все в одну строчку пишем, этим правилом мы открыли порт 6881 на 1.2.3.4

Всем кто принимал участие СПАСИБО.