mpd5 как pppoe клиент + ipfw

[LogEdge]

На FreeBSD-7.1 поднят шлюз, раздает инет через kernel nat.
Инет берется через pppoe, который поднимает mpd5.
Вот только что нехорошо - при загрузке отрабатывает ifpw скрипт, в котором разрешения прописаны для ng0 интерфейса, которого на этот момент еще нет.
Соответственно, когда ng0 поднимается, через него ничего не проходит.
Или почти ничего - каким-то чудом удается таки именно через ng0 зайти по ssh, перезапустить скрипт ipfw через change_rules, после этого все работает.
Простейшая конфигурация вроде бы, да никак не придумаю, как это выпрямить.
Подскажите кому не влом, как это делается правильно?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[schizoid]

можно еще раз передернуть фаер при старте pppoe дописав в up-скрипт поднятия впн

[paradox]

Вот только что нехорошо - при загрузке отрабатывает ifpw скрипт, в котором разрешения прописаны для ng0 интерфейса, которого на этот момент еще нет.

а вы отвяжитесь от интерфейсов и привяжитесь к айпишникам

[LogEdge]

Вот только что нехорошо - при загрузке отрабатывает ifpw скрипт, в котором разрешения прописаны для ng0 интерфейса, которого на этот момент еще нет.

а вы отвяжитесь от интерфейсов и привяжитесь к айпишникам

Хм.. дак и айпишников тоже еще нет....

Кстати, а вообще ipfw как должен себя вести в такой ситуации?
Странно, что то-то работает (allow|deny|reject...), что-то нет (например, ничего не проходит через 127.0.0.1),
nat (kernel) тоже видимо не работает..

[LogEdge]

можно еще раз передернуть фаер при старте pppoe дописав в up-скрипт поднятия впн

Да, видимо, это самое правильное... причем, новерное, все правила add относительно ng0 надо из основного скрипта в if-up скрипт переместить, а в if-down - те же правила, но delete...

[paradox]

айпишники есть уже логически
выж их не рандомом генерите
а уже есть какие то сети которые выдаете
вот их и пропишите в фаере

[LogEdge]

...более детальное рассмотрение показало, что на самом деле ipfw сугубо пофиг:

Код: Выделить всё

ipfw add ... via ng0
ipfw add ... via 111.222.333.444

а вот нат такого не понимает:

Код: Выделить всё

ipfw nat 100 config if ng0
ipfw: unknown interface name ng0

Видимо, в этом все и дело