правильно я настроил нат

[T_T]

Всем привет, подскажите пожалуйста правильно ли я настроил нат
работать он работает но меня терзают смутные сомнения будет ли работать сквид и остальное, сервак домашний развёрнут только для проверки ната
вообщем то вопросы скорее всего в правильности написания фаерволла

firewall.sh

Код: Выделить всё

$ sudo cat /usr/local/etc/firewall.sh
#!/bin/sh
ipfw -q -f flush

cmd="ipfw add"
pif="vr0"     # имя сетевой карты, которая смотрит в Интернет

$cmd 1 divert natd udp from 192.168.1.3 to 77.108.111.100 out via vr0
$cmd 2 divert natd udp from 77.108.111.100 to 192.168.0.10 in via vr0
$cmd 3 allow udp from 77.108.111.100 87 to 192.168.1.3 out via vr1
$cmd 4 allow udp from 192.168.1.3 to 77.108.111.100 87 in via vr1

$cmd 00005 allow all from any to any via vr0

$cmd 00010 allow all from any to any via lo0

$cmd 00015 check-state

$cmd 00110 allow tcp from any to any 53 out via $pif setup keep-state
$cmd 00111 allow udp from any to any 53 out via $pif keep-state
$cmd 00112 allow tcp from any to any 53 out via $pif setup keep-state
$cmd 00113 allow udp from any to any 53 out via $pif keep-state

$cmd 00200 allow tcp from any to any 80 out via $pif setup keep-state
$cmd 00205 allow  tcp from any to any 3128 out via $pif setup keep-state

$cmd 00210 allow  tcp from any to any 21 out via $pif setup keep-state
$cmd 00211 allow  tcp from any to any 1025-65535 out via $pif setup keep-state

$cmd 00220 allow tcp from any to any 443 out via $pif setup keep-state

$cmd 00230 allow tcp from any to any 25 out via $pif setup keep-state
$cmd 00231 allow tcp from any to any 110 out via $pif setup keep-state

$cmd 00240 allow tcp from me to any out via $pif setup keep-state uid root

$cmd 00250 allow icmp from any to any out via $pif keep-state

$cmd 00260 allow ip from any to any 123 out via $pif keep-state

$cmd 00270 allow tcp from any to any 119 out via $pif setup keep-state

$cmd 00280 allow tcp from any to any 22 out via $pif setup keep-state

$cmd 00290 allow tcp from any to any 43 out via $pif setup keep-state

$cmd 00299 deny log all from any to any out via $pif

$cmd 00301 deny all from 172.16.0.0/12 to any in via $pif  #RFC 1918 private IP
$cmd 00302 deny all from 10.0.0.0/8 to any in via $pif     #RFC 1918 private IP
$cmd 00303 deny all from 127.0.0.0/8 to any in via $pif    #loopback
$cmd 00304 deny all from 0.0.0.0/8 to any in via $pif      #loopback
$cmd 00305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto-config
$cmd 00306 deny all from 192.0.2.0/24 to any in via $pif   #reserved for docs
$cmd 00307 deny all from 204.152.64.0/23 to any in via $pif #Sun cluster interco                                                                              nnect
$cmd 00308 deny all from 224.0.0.0/3 to any in via $pif    #Class D & E multicas                                                                              t

$cmd 00310 deny icmp from any to any in via $pif

$cmd 00315 deny tcp from any to any 113 in via $pif

$cmd 00320 deny tcp from any to any 137 in via $pif
$cmd 00321 deny tcp from any to any 138 in via $pif
$cmd 00322 deny tcp from any to any 139 in via $pif
$cmd 00323 deny tcp from any to any 81 in via $pif

$cmd 00330 deny all from any to any frag in via $pif

$cmd 00332 deny tcp from any to any established in via $pif

$cmd 00400 allow tcp from any to me 25 in via $pif setup limit src-addr 10

$cmd 00410 allow tcp from any to me 22 in via $pif setup limit src-addr 2

$cmd 00499 deny log all from any to any in via $pif

$cmd 00999 deny log all from any to any

если я описания нат ставлю ниже, то он не работает

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[ivan__]

Тебе только udp натить надо?

[T_T]

Тебе только udp натить надо?

да только удп
у меня просто диверт стоит в самом начале, правильно ли это?

[ivan__]

у меня просто диверт стоит в самом начале, правильно ли это?

Нет.
Да и вообще далее пятого правила даже смотреть нечего - что есть фаер, что его нет.
А что мешает ядерный нат использовать?

[T_T]

и правда, извините опечатался там локальная сетевуха должна быть, а не внешняя
вот так правильно?

Код: Выделить всё

$ sudo cat /usr/local/etc/firewall.sh
#!/bin/sh
ipfw -q -f flush

cmd="ipfw add"
pif="vr0"     # имя сетевой карты, которая смотрит в Интернет

$cmd 1 divert natd udp from 192.168.1.3 to 77.108.111.100 out via vr0
$cmd 2 divert natd udp from 77.108.111.100 to 192.168.0.10 in via vr0
$cmd 3 allow udp from 77.108.111.100 87 to 192.168.1.3 out via vr1
$cmd 4 allow udp from 192.168.1.3 to 77.108.111.100 87 in via vr1

$cmd 00005 allow all from any to any via vr1

$cmd 00010 allow all from any to any via lo0

$cmd 00015 check-state

$cmd 00110 allow tcp from any to any 53 out via $pif setup keep-state
$cmd 00111 allow udp from any to any 53 out via $pif keep-state
$cmd 00112 allow tcp from any to any 53 out via $pif setup keep-state
$cmd 00113 allow udp from any to any 53 out via $pif keep-state

$cmd 00200 allow tcp from any to any 80 out via $pif setup keep-state
$cmd 00205 allow  tcp from any to any 3128 out via $pif setup keep-state

$cmd 00210 allow  tcp from any to any 21 out via $pif setup keep-state
$cmd 00211 allow  tcp from any to any 1025-65535 out via $pif setup keep-state

$cmd 00220 allow tcp from any to any 443 out via $pif setup keep-state

$cmd 00230 allow tcp from any to any 25 out via $pif setup keep-state
$cmd 00231 allow tcp from any to any 110 out via $pif setup keep-state

$cmd 00240 allow tcp from me to any out via $pif setup keep-state uid root

$cmd 00250 allow icmp from any to any out via $pif keep-state

$cmd 00260 allow ip from any to any 123 out via $pif keep-state

$cmd 00270 allow tcp from any to any 119 out via $pif setup keep-state

$cmd 00280 allow tcp from any to any 22 out via $pif setup keep-state

$cmd 00290 allow tcp from any to any 43 out via $pif setup keep-state

$cmd 00299 deny log all from any to any out via $pif

$cmd 00301 deny all from 172.16.0.0/12 to any in via $pif  #RFC 1918 private IP
$cmd 00302 deny all from 10.0.0.0/8 to any in via $pif     #RFC 1918 private IP
$cmd 00303 deny all from 127.0.0.0/8 to any in via $pif    #loopback
$cmd 00304 deny all from 0.0.0.0/8 to any in via $pif      #loopback
$cmd 00305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto-config
$cmd 00306 deny all from 192.0.2.0/24 to any in via $pif   #reserved for docs
$cmd 00307 deny all from 204.152.64.0/23 to any in via $pif #Sun cluster interco                                                                              nnect
$cmd 00308 deny all from 224.0.0.0/3 to any in via $pif    #Class D & E multicas                                                                              t

$cmd 00310 deny icmp from any to any in via $pif

$cmd 00315 deny tcp from any to any 113 in via $pif

$cmd 00320 deny tcp from any to any 137 in via $pif
$cmd 00321 deny tcp from any to any 138 in via $pif
$cmd 00322 deny tcp from any to any 139 in via $pif
$cmd 00323 deny tcp from any to any 81 in via $pif

$cmd 00330 deny all from any to any frag in via $pif

$cmd 00332 deny tcp from any to any established in via $pif

$cmd 00400 allow tcp from any to me 25 in via $pif setup limit src-addr 10

$cmd 00410 allow tcp from any to me 22 in via $pif setup limit src-addr 2

$cmd 00499 deny log all from any to any in via $pif

$cmd 00999 deny log all from any to any

тут 6,2 , а неё ядерный никак не поставить вродь только с 7.2+ это, пока что хочу сделать так, а в дальнейшем переставлять систему на более свежую

[administrator]

всё не правильно, начните заново

[T_T]

Обновился, теперь ядерный нат и всё нормально )