На 8.2 ядерный nat щупаем
Ядрышко с такими фичами
Код: Выделить всё
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=50
options IPFIREWALL_NAT
options LIBALIAS
options ROUTETABLES=2
options DUMMYNET
options HZ="1000"
Т.е. то что будет запусткаться при старте сервера или перезагрузки
Код: Выделить всё
firewall_enable="YES"
firewall_login="YES"
firewall_natd_enable="YES"
firewall_type="/usr/local/etc/firewall-nat"
dummynet_enable="YES"
Делаем исполняемым chmod +x firewall-nat
Так же пробросим порт, к примеру для того что бы можно было по rdp зайти на свой удаленный рабочий стол.
rl0 -локальный интерфейс
rl1 -внешний
Код: Выделить всё
#Разрешаем все внутри локалки
add 1040 allow ip from any to any via rl0
#Запрет. То что нельзя пускать на внешний интерфейс
add 1050 deny ip from any to 192.168.0.0/16 in recv rl1
add 1060 deny ip from 192.168.0.0/16 to any in recv rl1
add 1070 deny ip from any to 172.16.0.0/12 in recv rl1
add 1080 deny ip from 172.16.0.0/12 to any in recv rl1
add 1090 deny ip from any to 169.254.0.0/16 in recv rl1
add 1100 deny ip from 169.254.0.0/16 to any in recv rl1
#Доступ к серверу по ssh открываем.
add 10101 allow tcp from any to me 22 in via rl1 setup limit src-addr 2
#
#Открываем пор по которому работаем rdp
add 10203 allow ip from any 3389 to any via rl1
add 10204 allow ip from any to any 3389 via rl1
#Вот она самая вкусность ipfw + NAT пробрасываем порт в нутрь локальной сети. Плюс делаем NAT
nat 1 config log if rl1 reset same_ports redirect_port tcp 192.168.11.5:3389 3389
# Vse v NAT
add 10130 nat 1 ip from any to any via rl1
#Запрещаем все непонятное.
add 65534 deny all from any to any
Вопрос.
Если прокси squid будет не прозрачный. Как заразу Майкрософт Оутглюк застравить работать 110 и 25?
Нужно хитрое правило прописать?! Кто вкурсе.