Прочитал статью http://www.lissyara.su/articles/freebsd ... /ipfw_nat/
но к сожалению не разобрался (
Что нужно:
Нужно разрешить работать Jabber Video и VPN клиенту.
VPN клиент требует UDP 55777 в обе стороны
Jabber Video требует (цитирую):
- ip связность между ПК с Jabber Video и сервером 213.10.10.1
- обеспечить беспрепятственное прохождение трафика:
- исходящий TCP >= 1024 на TCP| UDP 5060 (213.10.10.1)
- исходящий TCP >= 1024 на TLS | TCP 5061 (213.10.10.1)
- исходящий RTP | UDP c 21000-21900 на 50000-52399 (213.10.10.1)
Код: Выделить всё
de0 - внешний интерфейс (10.10.10.1)
de1 - внутренний интерфейс
net.inet.ip.fw.one_pass: 1
Код: Выделить всё
00977 allow log udp from 213.10.10.1 to me in via de0
01000 allow udp from any 53 to any
01001 allow udp from any to any dst-port 53
01002 allow tcp from any to 10.10.10.1 dst-port 20,21 in via de0 setup
01003 allow tcp from 220.0.0.5 5000 to 10.10.10.1 dst-port 5000 keep-state
01003 allow tcp from 220.0.0.6 5000 to 10.10.10.1 dst-port 5000 keep-state
01003 allow tcp from 220.0.0.7 5000 to 10.10.10.1 dst-port 5000 keep-state
01010 allow log udp from me 21000-21900 to 213.10.10.1 dst-port 50000-52399
01011 allow log udp from any to any
01012 allow tcp from any to 10.10.10.1 dst-port 21 setup in via de0
01013 allow tcp from any to 10.10.10.1 setup in via de0
01018 allow log udp from any 55777 to any dst-port 55777 in via de1
01021 allow log ip from any to any via de1
01022 allow log udp from any to any
01030 allow tcp from any to 10.10.10.1 dst-port 25,110,53,3389 setup in via de0
01060 allow tcp from any to 10.10.10.1 dst-port 53 in via de0
10130 nat 1 ip from any to any via de0
10135 allow log udp from any to any via de0
10140 allow log udp from me 21000-21900 to 213.10.10.1 dst-port 50000-52399
65535 deny ip from any to any
Код: Выделить всё
ipfw nat 1 config log if de0 reset same_ports deny_in\
redirect_port tcp 192.168.14.109:80 80\
redirect_port tcp 192.168.14.109:22 24\
redirect_port tcp 192.168.14.199:22 888\
redirect_port tcp 192.168.14.69:3389 889
ipfw add 10130 nat 1 ip from any to any via de0
Есть подозрение, что UDP на вход не работают, но как открыть я не понимаю.
Если я правильно понял, то все пакеты из локальной сети разрешены на выход (1021). Правило 10130 на внешнем интерфейсе отправляет пакеты в nat - все пакеты. Если есть запись в таблицы, т.е. кто-то или что-то в локальной сети был инициатором связи и теперь идёт входные данные, то данные должны пропускаться.
UDP пакеты бегают только по 1011
TCP пакеты бегают по 1021