Помогите правильно настроить nat в виндовой сети.

[oleks1y]

Имеется виндовая сеть с:
1) Основной контроллер домена (называется он olya - win2003 server);
2) Резервный контроллер домена (называется он domen - win2003 сервер);
3) Виндовый шлюз (100 МБитная оптика с выделенным IP 42.*.*.*) которая также служит и почтовым сервером с MDaemon;
4) Фряшный шлюз со 100 Мбитной оптикой и выделенным IP 81.*.*.* другого провайдера (freebsd 7.0 с файровлом pf, mpd5, proftp), которая поначалу использовался как резервный инет канал, но ввиду нестабильности виндового шлюза постепенно перерос в основной инет канал.

На виндовом шлюзе меня устраивает только MDaemon, посему было принято решение переносить функции виндового шлюза на отдельную тачку с freebsd 9.0, а на винде оставить только почтовик MDaemon (также возможно временно)

Уже существующая в моей сетке фряшный шлюз прекрасно работает лет 5. ТОнкость настройки только в нате от pf. Поскольку в моей сетке уже есть DNS сервер на контроллере домена (основном и резервном), то я не поднимал bind на фряхе, а настроил ресолвинг с резервного контроллера домена на dns сервера провайдера в оснастке DNS и добавил соответствующее правило в pf.conf. Таким образом у локальных клиентов, те которым нужен нат, в нстройкках сетевухи в поле основной шлюз стоит IP фряшного шлюза, а в поле DNS - IP резевного контроллера домена. Все работает четко как часы. Получается что при обращении к инетовским сайтам локальная тачка обращается к контроллеру домена, а он в свою очередь ресолвит внешние IP через DNS проайдера.

На новом шлюзе я поставил freebsd 9.0, но решил попробовать другой файрвол (ipfw+kernel_nat). Попытался настроить ресолвинг на внешние IP так как на старой фряхе, но через основной контроллер домена. Не получается... С основного контроллера домена не ресолвятся dns сервера провайдера... Помогите разобраться что к чему.. На старой фряхе с PF все завелось с пол оборота. Перемониторил все конфиг файлы, не могу найти ошибку. Инет у локальных юзеров (те которые ходят через нат) работает только при настройке сетевухи, где в качестве "Предпочитаемый DNS сервер" стоит IP провайдера. Доступ к локальным ресурсам сети соответственно в таком случае по именам отсутствует, только по IP. Выкладываю файлы rc.conf и firewal-nat.sh. Жду с нетерпением Ваших замечаний

rc.conf:

Код: Выделить всё

#-----------------------------------------------------------
#
#---ZFS---
zfs_enable="YES"
#-----------------------------------------------------------
#
#---НАСТРОЙКА СЕТИ---
defaultrouter="42.*.*.*"
hostname="Free2.firm.com"
ifconfig_re0="inet 192.168.100.75  netmask 255.255.255.0"
ifconfig_re1="inet 42.*.*.* netmask 255.255.255.252"
#-----------------------------------------------------------
#
# ---РАСКЛАДКА---
keymap="ua.koi8-u"
#-----------------------------------------------------------
#
# ---СИНХРОНИЗАЦИЯ ВРЕМЕНИ---
ntpdate_enable='YES'
ntpdate_flags="-b ntp.nasa.gov"
#------------------------------------------------------------
# ---SSHD---
sshd_enable="YES"
#----------------------------------------------------------
#
# ---КИРИЛЛИЧЕСКИЕ ШРИФТЫ---
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
keymap="ru.koi8-r"
keychange="61 ^[[K"
scrnmap="koi8-r2cp866"
#-----------------------------------------------------------
# ---htop---
linux_enable="YES"
#---------------------------------------------------------
#
# ---For mpd5---
mpd_enable="YES"

#---------------------------------------------------------
# ---sqid---
#
squid_enable="YES"
#---------------------------------------------------------
#
# ---ipfw---
firewall_enable="YES"
firewall_nat_enable="YES"
dummynet_enable="YES"
firewall_script="/etc/firewall-nat.sh"
firewall_logging="YES"
#---------------------------------------------------------
powered_enable="YES"
#-----------------------------------------------------------

И файл firewall-nat.sh:

Код: Выделить всё

#!/bin/sh

# Переменные

fw="/sbin/ipfw -q"
inif="re0"              # Внутренний интерфейс
outif="re1"             # Внешний интерфейс
ipout="42.*.*.*"   # Внешний IP адрес
ipin="192.168.100.75"   # Внутренний IP тачки
vpn="10.189.160.0"      # VPN сеть
olya="192.168.100.52"   # Внетренний DNS сервер (контроллер домена Active Directory)
#
#-------------------------------------------------
# ---NAT---
#
${fw} -f flush
${fw} -f table 1 flush
${fw} table 1 add 192.168.100.112
${fw} table 1 add 192.168.100.158
${fw} table 1 add 192.168.100.99
${fw} table 1 add 192.168.100.1
${fw} table 1 add 192.168.100.159
${fw} table 1 add 192.168.100.2
${fw} table 1 add 192.168.100.14
${fw} table 1 add 192.168.100.105
${fw} table 1 add 192.168.100.148
${fw} table 1 add 192.168.100.149
${fw} table 1 add 192.168.100.32
${fw} nat 1 config log if ${outif} reset same_ports
#-------------------------------------------------
${fw} add 10 allow all from any to any via ${inif}                      # Позволить прохождение пакетов от всех - всем на внутренний интерфейс
${fw} add 20 nat 1 ip from table\(1\) to any via ${outif}               # Прокидывать адреса с таблицы 1 всем  на внешний интерфейс
${fw} add 30 nat 1 ip from any to ${ipout} via ${outif}                 # Прокидывать все адреса на внешний адрес внешнего и нтерфейса
#-------------------------------------------------
# ---SQUID---
#
${fw} add 40 fwd 127.0.0.1,3128 tcp from 192.168.100.0/24 to any dst-port 80 in recv ${outif} # Перенаправляти tcp пакети з порту 3128 локальної адреси внутрішньої мережі - 

всім на порт 80 зовнішнього інтерфейсу
#-------------------------------------------------
# ---VPN---
#
#Разрешает входящие пакеты по протоколу tcp от любого хоста на ваш сервер по внешнему интерфейсу на порт 1723 (используется для инициации и управления GRE-соединением)
${fw} add 50 allow tcp from any to me 1723 in via ${outif}

#Разрешает исходящие пакеты от вашего сервера по пору 1723 по внешнему интерфейсу на любой хост сети
${fw} add 60 allow tcp from me 1723 to any out via ${outif}

#Разрешить исходящие пакеты по протоколу *GRE от вашего сервера на любой хост сети по внешнему интерфейсу
${fw} add 70 allow gre from me to any out via ${outif}

#Разрешить входящие пакеты по протоколу *GRE от любого хоста на ваш сервер по внешнему интерфейсу
${fw} add 80 allow gre from any to me in  via ${outif}

# Разрешает все исходящие пакеты по протоколу ip от любого хоста на внутренние IP-адреса VPN-клиентов
${fw} add 90 allow ip from any to ${vpn} out

# Разрешает все входящие пакеты по протоколу ip от IP-адресов VPN-клиентов на любой хост
${fw} add 100 allow ip from ${vpn} to any in
#-------------------------------------------------
# ---DNS---



# разрешаем DNS снаружи (нам же надо узнавать IP по именам машин?)
${fw} add 110 allow udp from any 53 to any via ${outif}
# разрешаем DNS входящий снаружи - если на этой машине работает named
# и держит какую-то зону. В остальных случаях - не нужно
${fw} add 120 allow udp from any to any 53 via ${outif}


${fw} add 180 pass udp from $olya to any 53 keep-state

#-------------------------------------------------
# разрешаем UDP (для синхронизации времени - 123 порт)
${fw} add 190 allow udp from any to any 123 via ${outif}

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[vintovkin]

а по реальным айпи пинг есть?
что то вроде этого:

Код: Выделить всё

C:\>
C:\>ping da.ru

Pinging da.ru [85.10.219.146] with 32 bytes of data:
Reply from 85.10.219.146: bytes=32 time=58ms TTL=56
Reply from 85.10.219.146: bytes=32 time=58ms TTL=56
Reply from 85.10.219.146: bytes=32 time=58ms TTL=56
Reply from 85.10.219.146: bytes=32 time=57ms TTL=56

Ping statistics for 85.10.219.146:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 57ms, Maximum = 58ms, Average = 57ms

C:\>
C:\>
C:\>
C:\>ping  85.10.219.146

Pinging 85.10.219.146 with 32 bytes of data:
Reply from 85.10.219.146: bytes=32 time=58ms TTL=56
Reply from 85.10.219.146: bytes=32 time=57ms TTL=56
Reply from 85.10.219.146: bytes=32 time=57ms TTL=56
Reply from 85.10.219.146: bytes=32 time=57ms TTL=56

Ping statistics for 85.10.219.146:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 57ms, Maximum = 58ms, Average = 57ms

C:\>

[oleks1y]

Да все пингуется, еслина локальной тачке стоит днс провайдера либо гугловский 8.8.8.8. И по ИП и по именам
Если ставишь днс контроллера домена, инетовскиеИП не пингуются никак

[snorlov]

Ну а вообще-то посмотрите, у вас ваш кд идет мимо ната, адрес у него левый и первый маршрутизатор инета его должен срезать...
Все остальные правила на тему 53 порта сработают, если dns поднят на фре...
На вашем месте, я бы запустил на фре dns, можно и форвардом на dns провайдера, при этом его сделал бы вторичником для зон с AD, люблю я соломку стелить, ну а на на самом AD, все что не разрешается AD посылать на фрю... На клиентах первичник - это dns контроллера.

[oleks1y]

Добавлял я IP основного контроллера домена olya (192.168.100.52) в таблицу для ната, нихрена не получилось. Внешние IP не пинговались. ДНС на фряхе то поднять можно, но зачем??? На первой фряхе я ничего такого не делал и все сразу заработало с pf... Проброс на olya на днс прова стоит... Почему фряха его не выпускает в инет, хз... Вот еще подточил правила, поубирал все лишнее, правда пока нет возможности потестить, гляньте и поругайте, на мой взгляд так должно заработать:

Код: Выделить всё

#
#-------------------------------------------------
# ---NAT---
#
${fw} -f flush
${fw} -f table 1 flush
${fw} table 1 add 192.168.100.112
${fw} table 1 add 192.168.100.158
${fw} table 1 add 192.168.100.99
${fw} table 1 add 192.168.100.1
${fw} table 1 add 192.168.100.159
${fw} table 1 add 192.168.100.2
${fw} table 1 add 192.168.100.14
${fw} table 1 add 192.168.100.105
${fw} table 1 add 192.168.100.148
${fw} table 1 add 192.168.100.149
${fw} table 1 add 192.168.100.32
${fw} nat 1 config log if ${outif} reset same_ports
#-------------------------------------------------
${fw} add 10 allow all from any to any via ${inif}                      
${fw} add 20 nat 1 ip from table\(1\) to any via ${outif}               
${fw} add 30 nat 1 ip from any to ${ipout} via ${outif}                 
#-------------------------------------------------
# ---SQUID---
#
${fw} add 40 fwd 127.0.0.1,3128 tcp from 192.168.100.0/24 to any dst-port 80 in recv ${outif} 
#-------------------------------------------------
# ---VPN---
#
#Разрешает входящие пакеты по протоколу tcp от любого хоста на ваш сервер по внешнему интерфейсу на порт 1723 (используется для инициации и управления GRE-соединением)
${fw} add 50 allow tcp from any to me 1723 in via ${outif}

#Разрешает исходящие пакеты от вашего сервера по пору 1723 по внешнему интерфейсу на любой хост сети
${fw} add 60 allow tcp from me 1723 to any out via ${outif}

#Разрешить исходящие пакеты по протоколу *GRE от вашего сервера на любой хост сети по внешнему интерфейсу
${fw} add 70 allow gre from me to any out via ${outif}

#Разрешить входящие пакеты по протоколу *GRE от любого хоста на ваш сервер по внешнему интерфейсу
${fw} add 80 allow gre from any to me in  via ${outif}

# Разрешает все исходящие пакеты по протоколу ip от любого хоста на внутренние IP-адреса VPN-клиентов
${fw} add 90 allow ip from any to ${vpn} out
# Разрешает все входящие пакеты по протоколу ip от IP-адресов VPN-клиентов на любой хост
${fw} add 100 allow ip from ${vpn} to any in
#-------------------------------------------------
# ---DNS---

${fw} add 110 allow tcp from $olya to $prov_dns 53 out via ${outif} setup keep-state
${fw} add 120 allow udp from $olya to $prov_dns 53 out via ${outif} keep-state
${fw} add 130 allow tcp from $prov_dns 53 to $olya in via ${outif} setup keep-state
${fw} add 140 allow udp from $prov_dns 53 to $olya in via ${outif} keep-state

#-------------------------------------------------
# разрешаем UDP (для синхронизации времени - 123 порт)
${fw} add 190 allow udp from any to any 123 via ${outif}

[oleks1y]

Добавлял я IP основного контроллера домена olya (192.168.100.52) в таблицу для ната, нихрена не получилось. Внешние IP не пинговались. ДНС на фряхе то поднять можно, но зачем??? На первой фряхе я ничего такого не делал и все сразу заработало с pf... Проброс на olya на днс прова стоит... Почему фряха его не выпускает в инет, хз... Вот еще подточил правила, поубирал все лишнее, правда пока нет возможности потестить, гляньте и поругайте, на мой взгляд так должно заработать:

Код: Выделить всё

#!/bin/sh
fw="/sbin/ipfw -q"
inif="re0"              
outif="re1"             
ipout="42.*.*.*"   
ipin="192.168.100.75"   
prov_dns="42.*.*.*"  
vpn="10.189.160.0"      
olya="192.168.100.52" 
#-------------------------------------------------
# ---NAT---
#
${fw} -f flush
${fw} -f table 1 flush
${fw} table 1 add 192.168.100.112
${fw} table 1 add 192.168.100.158
${fw} table 1 add 192.168.100.99
${fw} table 1 add 192.168.100.1
${fw} table 1 add 192.168.100.159
${fw} table 1 add 192.168.100.2
${fw} table 1 add 192.168.100.14
${fw} table 1 add 192.168.100.105
${fw} table 1 add 192.168.100.148
${fw} table 1 add 192.168.100.149
${fw} table 1 add 192.168.100.32
${fw} nat 1 config log if ${outif} reset same_ports
#-------------------------------------------------
${fw} add 10 allow all from any to any via ${inif}                      
${fw} add 20 nat 1 ip from table\(1\) to any via ${outif}               
${fw} add 30 nat 1 ip from any to ${ipout} via ${outif}                 
#-------------------------------------------------
# ---SQUID---
#
${fw} add 40 fwd 127.0.0.1,3128 tcp from 192.168.100.0/24 to any dst-port 80 in recv ${outif} 
#-------------------------------------------------
# ---VPN---
#
#Разрешает входящие пакеты по протоколу tcp от любого хоста на ваш сервер по внешнему интерфейсу на порт 1723 (используется для инициации и управления GRE-соединением)
${fw} add 50 allow tcp from any to me 1723 in via ${outif}

#Разрешает исходящие пакеты от вашего сервера по пору 1723 по внешнему интерфейсу на любой хост сети
${fw} add 60 allow tcp from me 1723 to any out via ${outif}

#Разрешить исходящие пакеты по протоколу *GRE от вашего сервера на любой хост сети по внешнему интерфейсу
${fw} add 70 allow gre from me to any out via ${outif}

#Разрешить входящие пакеты по протоколу *GRE от любого хоста на ваш сервер по внешнему интерфейсу
${fw} add 80 allow gre from any to me in  via ${outif}

# Разрешает все исходящие пакеты по протоколу ip от любого хоста на внутренние IP-адреса VPN-клиентов
${fw} add 90 allow ip from any to ${vpn} out
# Разрешает все входящие пакеты по протоколу ip от IP-адресов VPN-клиентов на любой хост
${fw} add 100 allow ip from ${vpn} to any in
#-------------------------------------------------
# ---DNS---

${fw} add 110 allow tcp from $olya to $prov_dns 53 out via ${outif} setup keep-state
${fw} add 120 allow udp from $olya to $prov_dns 53 out via ${outif} keep-state
${fw} add 130 allow tcp from $prov_dns 53 to $olya in via ${outif} setup keep-state
${fw} add 140 allow udp from $prov_dns 53 to $olya in via ${outif} keep-state

#-------------------------------------------------
# разрешаем UDP (для синхронизации времени - 123 порт)
${fw} add 190 allow udp from any to any 123 via ${outif}

[snorlov]

Да все пингуется, еслина локальной тачке стоит днс провайдера либо гугловский 8.8.8.8. И по ИП и по именам
Если ставишь днс контроллера домена, инетовскиеИП не пингуются никак

Это ведь ваши слова, поэтому добавьте ваш кд в нат, устанавливайте на кд его, кд, ip в качестве первого днс, установите в свойствах его днс'а форвард на днс провайдера, в отношении всех других зон, после чего рестартуйте сервис днс, рестартуйте ipfw и пробуйте пинг на тот же ya.ru, тут главное не пойдет пинг или нет, а разрешит имя в ip...

[dash1121]

вот это работает

Код: Выделить всё

${fw} add 110 allow tcp from $olya to $prov_dns 53 out via ${outif} setup keep-state

но потом надо в nat завернуть, иначе

Код: Выделить всё

${fw} add 130 allow tcp from $prov_dns 53 to $olya in via ${outif} setup keep-state

никогда не прийдет от нормального dns т.к. olya="192.168.100.52"

[oleks1y]

В общем ситуация остается запутанной... КД Olya в принципе не натится никак, не выпускает его ipfw... Все остальные IP которые включены в таблицу ната выпускаются (по ip все пингуется, а если еще поставить на фряхе в resolv.conf вместо 192.168.100.52 dns провайдера, то все пингуется и по имени)... Выкладываю еще раз все конфиги и скрины с olya. Где собака порылась подскажите??? Проблема только в OLYA, как только ipfw ее выпустит, то все будет работать.

Конфиг firewall-nat.sh:

Код: Выделить всё

#!/bin/sh

# Переменные

fw="/sbin/ipfw -q"
inif="re0"              # Внутренний интерфейс
outif="re1"             # Внешний интерфейс
ipout="42.*.*.*"   # Внешний IP адрес
ipin="192.168.100.75"   # Внутренний IP тачки
prov_dns="42.*.*.*"  # Адреса сервера імен провайдера
vpn="10.189.160.0"      # VPN сеть
olya="192.168.100.52"   # Внутренний DNS сервер (контроллер домена Active Directory)
#
#-------------------------------------------------
# ---NAT---
#
${fw} -f flush
${fw} -f table 1 flush
${fw} table 1 add 192.168.100.112
${fw} table 1 add 192.168.100.158
${fw} table 1 add 192.168.100.99
${fw} table 1 add 192.168.100.1
${fw} table 1 add 192.168.100.159
${fw} table 1 add 192.168.100.2
${fw} table 1 add 192.168.100.14
${fw} table 1 add 192.168.100.105
${fw} table 1 add 192.168.100.148
${fw} table 1 add 192.168.100.149
${fw} table 1 add 192.168.100.32
${fw} table 1 add 102.168.100.52
${fw} nat 1 config log if ${outif} reset same_ports
#-------------------------------------------------
${fw} add 10 allow all from any to any via ${inif}                      # Позволить прохождение пакетов от всех - всем на внутренний интерфейс
${fw} add 20 nat 1 ip from table\(1\) to any via ${outif}               # Прокидывать адреса с таблицы 1 всем  на внешний интерфейс
${fw} add 30 nat 1 ip from any to ${ipout} via ${outif}                 # Прокидывать все адреса на внешний адрес внешнего и нтерфейса
#-------------------------------------------------
# ---DNS---
${fw} add 35 allow tcp from $olya to $prov_dns 53 out via ${outif} setup keep-state
${fw} add 36 allow tcp from $prov_dns 53 to $olya in via ${outif} setup keep-state

# ---SQUID---
${fw} add 40 fwd 127.0.0.1,3128 tcp from 192.168.100.0/24 to any dst-port 80 in recv ${outif} 
#-------------------------------------------------
# ---VPN---
#
#Разрешает входящие пакеты по протоколу tcp от любого хоста на ваш сервер по внешнему интерфейсу на порт 1723 (используется для инициации и управления GRE-соединением)
${fw} add 50 allow tcp from any to me 1723 in via ${outif}

#Разрешает исходящие пакеты от вашего сервера по пору 1723 по внешнему интерфейсу на любой хост сети
${fw} add 60 allow tcp from me 1723 to any out via ${outif}

#Разрешить исходящие пакеты по протоколу *GRE от вашего сервера на любой хост сети по внешнему интерфейсу
${fw} add 70 allow gre from me to any out via ${outif}
#Разрешить входящие пакеты по протоколу *GRE от любого хоста на ваш сервер по внешнему интерфейсу
${fw} add 80 allow gre from any to me in  via ${outif}

# Разрешает все исходящие пакеты по протоколу ip от любого хоста на внутренние IP-адреса VPN-клиентов
${fw} add 90 allow ip from any to ${vpn} out

# Разрешает все входящие пакеты по протоколу ip от IP-адресов VPN-клиентов на любой хост
${fw} add 100 allow ip from ${vpn} to any in
#-------------------------------------------------

# разрешаем UDP (для синхронизации времени - 123 порт)
${fw} add 110 allow udp from any to any 123 via ${outif}

resolv.conf:

Код: Выделить всё

domain firm.com
nameserver 192.168.100.52

sysctl.conf:

Код: Выделить всё

net.inet.ip.forwarding=1

rc.conf:

Код: Выделить всё

#-----------------------------------------------------------
#
#---ZFS---
zfs_enable="YES"
#-----------------------------------------------------------
#
#---НАСТРОЙКА СЕТИ---
defaultrouter="42.*.*.*"
hostname="Free2.firm.com"
ifconfig_re0="inet 192.168.100.75  netmask 255.255.255.0"
ifconfig_re1="inet 42.*.*.* netmask 255.255.255.252"
#-----------------------------------------------------------
#
# ---РАСКЛАДКА---
keymap="ua.koi8-u"
#-----------------------------------------------------------
#
# ---СИНХРОНИЗАЦИЯ ВРЕМЕНИ---
ntpdate_enable='YES'
ntpdate_flags="-b ntp.nasa.gov"
#------------------------------------------------------------
# ---SSHD---
sshd_enable="YES"
#----------------------------------------------------------
#
# ---КИРИЛЛИЧЕСКИЕ ШРИФТЫ---
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
keymap="ru.koi8-r"
keychange="61 ^[[K"
scrnmap="koi8-r2cp866"
#-----------------------------------------------------------
named_enable="YES"
# ---htop---
linux_enable="YES"
#---------------------------------------------------------
#
# ---For mpd5---
mpd_enable="YES"

#---------------------------------------------------------
# ---sqid---
#
squid_enable="YES"
#---------------------------------------------------------
#
# ---ipfw---
firewall_enable="YES"
firewall_nat_enable="YES"
dummynet_enable="YES"
firewall_script="/etc/firewall-nat.sh"
firewall_logging="YES"
#---------------------------------------------------------
powered_enable="YES"
#-----------------------------------------------------------

И скрины с OLYA в аттачах

[snorlov]

А какое значение имеет one_pass... Можно попробовать в /etc/sysctl.conf:

Код: Выделить всё

 
 net.inet.ip.fw.one_pass=0

для попробовать можно просто дать на консоли ipfw disable one_pass

[dash1121]

глупый вопрос но всетаки... вы уверены что кд режется именно ipfw? был случай когда в настройках службы "маршрутизация и удаленный доступ" писали одно, а в "основной шлюз" - другое и пока у вас в настройках ipfw для КД прописан nat уберите дополнительные настройки для dns.

[oleks1y]

В том то и дело то КД Оля не натится только этой новой фряшной тачкой с ipfw. Виндовым шлюзом и второй фряхой с pf натится без проблем при тех же настройках Оли