Все входяшие извне соединения которые не фигирируют в таблице ната (не инициированы клиентами или не сделаны через redirect_port) отрубаются чтобы не мозолили глаза. Так "секюрней"...Curious mind писал(а): Мне нужно чтобы чтобы потребители не указанные в таблице получали инет только с прокси, мне не совсем понятно следующее:Код: Выделить всё
${FwCMD} nat 1 config log if vr0 deny_in reset same_ports - Зачем запрещать вход пакетов на внешний интерфейс ?
Все соединения из локальной сети на IP самого рутера разрешены. Если адрес не из таблицы полезет в интернет (то есть не на IP рутера), то его зарежет 00604.Curious mind писал(а):Код: Выделить всё
${FwCMD} add 00600 allow all from ${NetInt} to me in recv nfe0 ${FwCMD} add 00601 allow all from me to ${NetInt} out xmit nfe0 ${FwCMD} add 00602 allow all from "table(3)" to any in recv nfe0 ${FwCMD} add 00603 allow all from any to "table(3)" out xmit nfe0 Не до конца понятна логика этих правил хотя возможно я просто не правильно их трактую
Все соединения от IP из таблицы разрешены куда угодно (и на сам рутер, и в интернет).
В FreeBSD 8.1 поломали sysctl one_pass, поэтому для того чтобы трафик после ната уходил в интернет надо такую фигню ставить. Так как нат запущен с deny_in то из интернета ничего лишнего не прилетит.Curious mind писал(а): И почему последнее правилоКод: Выделить всё
${FwCMD} add 00800 allow all from any to any
Это будет работать.Мне нужно чтобы чтобы потребители не указанные в таблице получали инет только с прокси