проблема с шлюзом в инет

[harmless]

Настраивал шлюз на FreeBSD 6.2 Realese
правили фаервола брал из ститьи лиса
firewall.conf

Код: Выделить всё

#!/bin/sh
########## FIREWALL CONFIGURATION FILE ##########
fwcmd="/sbin/ipfw"

##################################
				##
LanOut="vr1"			##
LanIn="vr0"			##
				##
IpOut="192.168.1.8"		##
IpIn="192.168.111.111"		##
				##
#NetMask="16"			##
NetIn="192.168.0.0/16"		##
User="192.168.111"		##
##################################

########## CLEAN ALL ##########

${fwcmd} -f flush
${fwcmd} add allow icmp from ${IpOut} to any via vr1
########## PIPES TO FTP ##########

${fwcmd} add pipe 10 ip from ${IpIn} 20,21 to ${NetIn}
${fwcmd} pipe 10 config bw 40Mbit/s


########## USERS WHAT ARE NOT GIVE INTERNET ##########

#${fwcmd} add deny ip from ${User} to any out via ${LanOut}
#${fwcmd} add deny ip from any to ${User} in via ${LanOut}

########## PIPES ##########
${fwcmd} add pipe 100 ip from not ${NetIn} to ${User}.10,${User}.11,${User}.15
${fwcmd} pipe 100 config bw 1024Kbit/s

########## USER 1 ##########
########## USER 2 ##########
########## USER 3 ##########
########## USER 4 ##########
########## USER 5 ##########
########## USER 6 ##########
########## USER 7 ##########
########## USER 8 ##########
########## USER 9 ##########
########## USER 10,11,15 ##########
#${fwcmd} add pipe 1 ip from not ${NetIn} to ${User}.10,${User}.11,${User}.15
#${fwcmd} pipe 1 config bw 1024Kbit/s queue 1
#${fwcmd} add queue 1 ip from any to ${User}.10,${User}.15
#${fwcmd} queue 1 config pipe 1 weight 1
#${fwcmd} add queue 30 ip from any to ${User}.11
#${fwcmd} queue 30 config pipe 1 weight 40
#${fwcmd} add pipe 2 ip from ${User}.10,${User}.11,${User}.15 to not me 
#${fwcmd} pipe 2 config bw 512Kbit/s queue 2
#${fwcmd} add queue 2 ip from ${User}.10,${User}.11,${User}.15 to not me
#${fwcmd} queue 2 config pipe 2 weight 1

########## USER 11 ##########
#${fwcmd} add pipe 3 ip from not ${NetIn} to ${User}.11
#${fwcmd} pipe 3 config bw 64Kbit/s queue 3
#${fwcmd} add pipe 4 ip from ${User}.11 to not me 
#${fwcmd} pipe 4 config bw 16Kbit/s queue 4

#${fwcmd} add queue 3 ip from any to ${User}.11
#${fwcmd} queue 3 config pipe 3 weight 100
#${fwcmd} add queue 4 ip from ${User}.11 to not me
#${fwcmd} queue 4 config pipe 4 weight 100

########## USER 12 ##########
${fwcmd} add pipe 5 ip from not ${NetIn} to ${User}.12
${fwcmd} pipe 5 config bw 64Kbit/s queue 5
${fwcmd} add pipe 6 ip from ${User}.12 to not me 
${fwcmd} pipe 6 config bw 16Kbit/s queue 6

${fwcmd} add queue 5 ip from any to ${User}.12
${fwcmd} queue 5 config pipe 5 weight 100
${fwcmd} add queue 6 ip from ${User}.12 to not me
${fwcmd} queue 6 config pipe 6 weight 100

########## USER 13 ##########
${fwcmd} add pipe 7 ip from not ${NetIn} to ${User}.13
${fwcmd} pipe 7 config bw 64Kbit/s queue 7
${fwcmd} add pipe 8 ip from ${User}.13 to not me
${fwcmd} pipe 8 config bw 16Kbit/s queue 8

${fwcmd} add queue 7 ip from any to ${User}.13
${fwcmd} queue 7 config pipe 7 weight 100
${fwcmd} add queue 8 ip from ${User}.13 to not me
${fwcmd} queue 8 config pipe 8 weight 100

########## USER 14 ##########
${fwcmd} add pipe 9 ip from not ${NetIn} to ${User}.14
${fwcmd} pipe 9 config bw 128Kbit/s queue 9
${fwcmd} add pipe 10 ip from ${User}.14 to not me
${fwcmd} pipe 10 config bw 32Kbit/s queue 10

${fwcmd} add queue 9 ip from any to ${User}.14
${fwcmd} queue 9 config pipe 9 weight 100
${fwcmd} add queue 10 ip from ${User}.14 to not me
${fwcmd} queue 10 config pipe 10 weight 100

########## USER 15 ##########
#${fwcmd} add pipe 11 ip from not ${NetIn} to ${User}.15
#${fwcmd} pipe 11 config bw 16Kbit/s queue 11
#${fwcmd} add pipe 12 ip from ${User}.15 to not me
#${fwcmd} pipe 12 config bw 16Kbit/s queue 12

#${fwcmd} add queue 11 ip from any to ${User}.15
#${fwcmd} queue 11 config pipe 11 weight 20
#${fwcmd} add queue 12 ip from ${User}.15 to not me
#${fwcmd} queue 12 config pipe 12 weight 20

########## USER 16 ##########
${fwcmd} add pipe 13 ip from not ${NetIn} to ${User}.16
${fwcmd} pipe 13 config bw 128Kbit/s queue 13
${fwcmd} add pipe 14 ip from ${User}.16 to not me
${fwcmd} pipe 14 config bw 32Kbit/s queue 14

${fwcmd} add queue 13 ip from any to ${User}.16
${fwcmd} queue 13 config pipe 13 weight 100
${fwcmd} add queue 14 ip from ${User}.16 to not me
${fwcmd} queue 14 config pipe 14 weight 100

########## USER 17 ##########
${fwcmd} add pipe 15 ip from not ${NetIn} to ${User}.17
${fwcmd} pipe 15 config bw 128Kbit/s queue 15
${fwcmd} add pipe 16 ip from ${User}.17 to not me
${fwcmd} pipe 16 config bw 32Kbit/s queue 16

${fwcmd} add queue 15 ip from any to ${User}.17
${fwcmd} queue 15 config pipe 15 weight 100
${fwcmd} add queue 16 ip from ${User}.17 to not me
${fwcmd} queue 16 config pipe 16 weight 100

########## USER 18 ##########
#${fwcmd} add pipe 17 ip from not ${NetIn} to ${User}.18
#${fwcmd} pipe 17 config bw 16Kbit/s
#${fwcmd} add pipe 18 ip from ${User}.18 to not me
#${fwcmd} pipe 18 config bw 16Kbit/s

########## USER 19 ##########
#${fwcmd} add pipe 19 ip from not ${NetIn} to ${User}.19
#${fwcmd} pipe 19 config bw 128Kbit/s
#${fwcmd} add pipe 20 ip from ${User}.19 to not me
#${fwcmd} pipe 20 config bw 128Kbit/s

########## USER 20 ##########
#${fwcmd} add pipe 21 ip from not ${NetIn} to ${User}.20
#${fwcmd} pipe 21 config bw 128Kbit/s
#${fwcmd} add pipe 22 ip from ${User}.20 to not me
#${fwcmd} pipe 22 config bw 128Kbit/s
########## USER 21 ##########
########## USER 22 ##########
########## USER 23 ##########
########## USER 24 ##########
########## USER 25 ##########
########## USER 26 ##########
########## USER 27 ##########
########## USER 28 ##########
########## USER 29 ##########
########## USER 30 ##########
########## USER 31 ##########
########## USER 32 ##########
########## USER 33 ##########
########## USER 34 ##########
########## USER 35 ##########


${fwcmd} add allow icmp from any to ${IpOut} via ${LanOut}

########## DINAMYC RIGHT ##########

${fwcmd} add check-state


########## ALLOW ANY ON THE LanIn ###########

${fwcmd} add allow ip from any to any via $LanIn


########## DENY ALL ON 127.0.0.0 ##########

${fwcmd} add deny ip from any to 127.0.0.1/8
${fwcmd} add deny ip from 127.0.0.1/8 to any


########## DENY ALL IN ON THE LanOut ##########

${fwcmd} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${fwcmd} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
#${fwcmd} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${fwcmd} add deny ip from any to 0.0.0.0/8 in via ${LanOut}


########## DENY AUTOCONFIGURE NETWORK ON LanOut ##########

${fwcmd} add deny ip from any to 169.254.0.0/4 via ${LanOut}


########## DENY ALL MULTICAST MESSEGING ##########

${fwcmd} add deny ip from any to 240.0.0.0/4 via ${LanOut}


########## DENY ICMP FRAG ##########

${fwcmd} add deny icmp from any to any frag


########## DENY LOG ALL BROADCAST ICMP ON LanOut ##########

${fwcmd} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${fwcmd} add deny log icmp from any to 255.255.255.255 out via ${LanOut}


########## firewall ##############
##				##
##${fwcmd} add 			##
##				##
##				##
##################################

########## NAT ##########

${fwcmd} add divert natd ip from ${NetIn} to any out via ${LanOut}
${fwcmd} add divert natd ip from any to ${IpOut} in via ${LanOut}


########## DENY ALL LOCAL OUT LanOut ##########

${fwcmd} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${fwcmd} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
#${fwcmd} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${fwcmd} add deny ip from 0.0.0.0/8 to any out via ${LanOut}


########## DENY ALL AUTOCONFIGURE NETWORK OUT LanOut ##########

${fwcmd} add deny ip from 169.254.0.0/16  to any out via ${LanOut}


########## DENY ALL MULTICAST MESEGES ON LanOut ##########

${fwcmd} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
${fwcmd} add deny ip from 240.0.0.0/4 to any out via ${LanOut}


########## ALLOW ALL ESTABLISHED ##########

${fwcmd} add allow ip from any to any established


########## ALLOW ANY SERVER CONNECT VIA LanOut ##########

${fwcmd} add allow ip from ${IpOut} to any out xmit ${LanOut}


########## ALLOW DNS IN LanOut ##########

${fwcmd} add allow ip from any 53 to any via ${LanOut}


########## ALLOW SSH ON LanOut ##########

${fwcmd} add allow tcp from any to ${IpOut} 22 via ${LanOut}


########## ALLOW ANY ON LanIn ##########

${fwcmd} add allow tcp from any to any via ${LanIn}

${fwcmd} add allow udp from any to any via ${LanIn}

${fwcmd} add allow icmp from any to any via ${LanIn}


########## DENY ALL ##########

${fwcmd} add deny ip from any to any

а вот rc.conf

Код: Выделить всё

# -- sysinstall generated deltas -- # Tue Jan  1 20:20:24 2008
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
#arpwanch_enable="YES"
defaultrouter="192.168.1.1"
gateway_enable="YES"
hostname="harmless.kiev.ua"
network_interfaces="vr0 vr1 lo0"
ifconfig_vr0="inet 192.168.111.111 netmask 255.255.0.0"
ifconfig_vr1="inet 192.168.1.8  netmask 255.255.255.0"
inetd_enable="YES"
keymap="ru.koi8-r"
linux_enable="YES"
moused_enable="NO"
moused_type="NO"
sshd_enable="YES"
usbd_enable="YES"
natd_enable="YES"
natd_flags="-m -u"
natd_interface="vr0"
firewall_enable="YES"
firewall_script="/etc/firewall.conf"
firewall_logging="YES"

проблема вот в чем:
к внешней сетевой 192.168.1.8 подключен модем ADSL Zyxel 660RT EE IP 192.168.1.1(с автоматическими настройками в режими роутера)
когда без правил фаера - то фря получает нет, а с правилами нет и в месте с ней и сеть(квип говорит Error: DNS lookup failed)
сразу скажу что ппп не поднимал так как шлюз получает нет и без него но спотыкается как я понял об правила фаера
плз подскажите что делать куда копать или пните в нужную сторону

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[schizoid]

включить логирование и
tail -f /var/log/security и смотреть что режет

[harmless]

доброе время суток!
проблема вот в чем:
фаервол все пропускает!!!
что-то с ДНС!
не знаю какие IP ставить на юзеров(модема??шлюза???-не пашет!!!)
жду ваших подказок!

[Slab]

Код: Выделить всё

${fwcmd} add allow ip from any to any established

? неправильно

Код: Выделить всё

${fwcmd} add allow ip from any 53 to any via ${LanOut}

? тоже косяк
----------
это первое, что бросилось в глаза.

[harmless]

огромное спасибо!!!!
а можно поподробнее!???
просто голову сломал уже!

Код: Выделить всё

${fwcmd} add allow ip from any to any established

заменил на

Код: Выделить всё

${fwcmd} add allow tcp from any to any established

Код: Выделить всё

${fwcmd} add allow ip from any 53 to any via ${LanOut}

==>>

Код: Выделить всё

${fwcmd} add allow udp from any 53 to any via ${LanOut}

[harmless]

спасибо лиссяра за поправку(чет завтыкал, может из-за проблемы этой)
короче вот в чем дело:
сервак получает нет стабильно от модема-роутера!!!!
но в локалку не отдает!
уже все перепробовал, вплоть до того что просто нат оставлял на сервере без правил

Код: Выделить всё

${FwCMD} add divert natd ip from ${NetIn} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}

но нет до клиентов так и не дошел!
попробую так:
модем(192.168.1.1/24)---сервер((192.168.1.8/24)freebsd6.2(192.168.111.111/16))---клиенты(192.168.111.1-254/24)
думал может чтото с масками сетей!???
незнаю что делать!
Хотя догадуюсь - прийдется всё заново переделывать!
и еще -- нужен ли ДНС сервер!?????
просто не знаю какой ДНС-сервер прописывать у клиентов!

[Slab]

Код: Выделить всё

ifconfig_vr0="inet 192.168.111.111 netmask 255.255.0.0"
natd_interface="vr0"

просто не знаю какой ДНС-сервер прописывать у клиентов!

Который будет отвечать на запросы клиентов. Например ДНС провайдера.
Или настроить на модеме dns-relay, если поддерживается.
но по моему лучше на серваке поднять bind.

[harmless]

поднял бинд но не знаю что с ним делать!!!!

[harmless]

проблема решилась таким вот способом:

Код: Выделить всё

#!/bin/sh
########## FIREWALL CONFIGURATION FILE ##########
fwcmd="/sbin/ipfw"
							
LanOut="vr1" 						
LanIn="vr0"         					
            							
IpOut="192.168.2.2"     							
IpIn="192.168.1.1"							     	
            									
NetMask="24"      								
NetIn="192.168.1.0"     						 	
User="192.168.1" 								
UserNo="${User}.1,${User}.2,${User}.3,${User}.4,${User}.5,${User}.6,${User}.7" 
            									
####################################################################

########## CLEAN ALL ##########

${fwcmd} -f flush

${fwcmd} add allow all from 192.168.2.1 to any in via ${LanOut} ----- к вот этому правило возникает сомнение(192.168.2.1-это модем)

########## PIPES TO FTP ##########

${fwcmd} add pipe 102 ip from ${IpIn} 20,21 to ${NetIn}/${NetMask}
${fwcmd} pipe 102 config bw 40Mbit/s
${fwcmd} add pipe 101 ip from ${NetIn}/${NetMask} to ${IpIn} 20,21
${fwcmd} pipe 101 config bw 40Mbit/s


########## USERS WHAT ARE NOT GIVE INTERNET ##########

${fwcmd} add deny ip from ${UserNo} to any out via ${LanOut}
${fwcmd} add deny ip from any to ${UserNo} in via ${LanOut}

########## PIPES ##########

########## USER 10,11,15 ##########

${fwcmd} add pipe 1 ip from not ${NetIn}/${NetMask} to ${User}.10,${User}.11,${User}.15
${fwcmd} pipe 1 config bw 1024Kbit/s

${fwcmd} add pipe 2 ip from ${User}.10,${User}.11,${User}.15 to not me 
${fwcmd} pipe 2 config bw 512Kbit/s

########## USER 12 ##########

${fwcmd} add pipe 5 ip from not ${NetIn}/${NetMask} to ${User}.12
${fwcmd} pipe 5 config bw 64Kbit/s
${fwcmd} add pipe 6 ip from ${User}.12 to not me 
${fwcmd} pipe 6 config bw 16Kbit/s

########## USER 14 ##########

${fwcmd} add pipe 9 ip from not ${NetIn}/${NetMask}  to ${User}.14
${fwcmd} pipe 9 config bw 128Kbit/s
${fwcmd} add pipe 10 ip from ${User}.14 to not me
${fwcmd} pipe 10 config bw 32Kbit/s

########## DINAMYC RIGHT ##########

${fwcmd} add check-state

########## ALLOW ANY ON THE lo0 ###########

${fwcmd} add allow ip from any to any via lo0

########## ALLOW ANY ON THE LanIn ###########

${fwcmd} add allow ip from any to any via $LanIn


########## DENY ALL ON 127.0.0.0 ##########

${fwcmd} add deny ip from any to 127.0.0.1/8
${fwcmd} add deny ip from 127.0.0.1/8 to any


########## DENY ALL IN ON THE LanOut ##########

${fwcmd} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${fwcmd} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
#${fwcmd} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${fwcmd} add deny ip from any to 0.0.0.0/8 in via ${LanOut}


########## DENY AUTOCONFIGURE NETWORK ON LanOut ##########

${fwcmd} add deny ip from any to 169.254.0.0/4 via ${LanOut}


########## DENY ALL MULTICAST MESSEGING ##########

${fwcmd} add deny ip from any to 240.0.0.0/4 via ${LanOut}


########## DENY ICMP FRAG ##########

${fwcmd} add deny icmp from any to any frag ----- и вот поподробней можна какие пакеты режет это правило


########## DENY LOG ALL BROADCAST ICMP ON LanOut ##########

${fwcmd} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${fwcmd} add deny log icmp from any to 255.255.255.255 out via ${LanOut}


########## firewall ##############

########## NAT ##########

${fwcmd} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${fwcmd} add divert natd ip from any to ${IpOut} in via ${LanOut}


########## DENY ALL LOCAL OUT LanOut ##########

${fwcmd} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${fwcmd} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
#${fwcmd} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${fwcmd} add deny ip from 0.0.0.0/8 to any out via ${LanOut}


########## DENY ALL AUTOCONFIGURE NETWORK OUT LanOut ##########

${fwcmd} add deny ip from 169.254.0.0/16  to any out via ${LanOut}


########## DENY ALL MULTICAST MESEGES ON LanOut ##########

${fwcmd} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
${fwcmd} add deny ip from 240.0.0.0/4 to any out via ${LanOut}


########## ALLOW ALL ESTABLISHED ##########

${fwcmd} add allow tcp from any to any established


########## ALLOW ANY SERVER CONNECT VIA LanOut ##########

${fwcmd} add allow ip from ${IpOut} to any out xmit ${LanOut}


########## ALLOW DNS IN LanOut ##########

${fwcmd} add allow udp from any 53 to any via ${LanOut}


${fwcmd} add allow udp from any to ${IpOut} 53 in via ${LanOut} setup
${fwcmd} add allow udp from ${IpOut} 53 to any out via ${LanOut} setup
${fwcmd} add allow udp from any 53 to ${IpOut} in via ${LanOut} setup
${fwcmd} add allow udp from ${IpOut} to any 53 out via ${LanOut} setup


# COUNTER-STRIKE
${fwcmd} add allow udp from any 27015-27025 to ${NetIn}/24 in via ${LanOut} setup
${fwcmd} add allow udp from any 27015-27025 to ${NetIn}/24 out via ${LanIn} setup
${fwcmd} add allow udp from ${NetIn}/24 to any 27015-27025 in via ${LanIn} setup
${fwcmd} add allow udp from ${IpOut} to any 27015-27025 out via ${LanOut} setup

########## ALLOW SSH ON LanOut ##########

${fwcmd} add allow tcp from any to ${IpOut} 22 via ${LanOut} setup


########## ALLOW SSH ON LanOut ##########

${fwcmd} add allow tcp from any to ${IpIn} 22 via ${LanIn}



########## ALLOW ANY ON LanIn ##########

${fwcmd} add allow tcp from any to any via ${LanIn}

${fwcmd} add allow udp from any to any via ${LanIn}

${fwcmd} add allow icmp from any to any via ${LanIn}


########## DENY ALL ##########

${fwcmd} add deny ip from any to any setup
 

и вот такой записью в rc.conf

Код: Выделить всё

named_enable="YES"

еще вопрос что дает такая запись

Код: Выделить всё

named_flags="-u bind

в named.conf

Код: Выделить всё

options {
          forwarders {192.168.2.1; };
};

вопрос как открыть пинг для юзеров на нет!????

теперь нет работает но появилась новая проблема!
на фре запущен сервер котры 1.6, который видно с локалки, но юзерам надо чтоб была возможность игры в кс и в нете(тобиш и на локальном серве и на нетовских)!
как это реализовать с такими вот правилами!???
Жду вашей помощи!

[Slab]

Код: Выделить всё

${fwcmd} add allow udp from any to ${IpOut} 53 in via ${LanOut} setup
${fwcmd} add allow udp from ${IpOut} 53 to any out via ${LanOut} setup
${fwcmd} add allow udp from any 53 to ${IpOut} in via ${LanOut} setup
${fwcmd} add allow udp from ${IpOut} to any 53 out via ${LanOut} setup


# COUNTER-STRIKE
${fwcmd} add allow udp from any 27015-27025 to ${NetIn}/24 in via ${LanOut} setup
${fwcmd} add allow udp from any 27015-27025 to ${NetIn}/24 out via ${LanIn} setup
${fwcmd} add allow udp from ${NetIn}/24 to any 27015-27025 in via ${LanIn} setup
${fwcmd} add allow udp from ${IpOut} to any 27015-27025 out via ${LanOut} setup

udp - является протоколом без установления соединения.

Код: Выделить всё

${fwcmd} add deny ip from any to any setup

еще лучше....

[harmless]

так а как пропустить контру в нет!???
удилить сетап!??и все??

[Slab]

попробуй :

Код: Выделить всё

${fwcmd} add allow udp from ${NetIn}/24 to any 27015-27025 via ${LanIn} keep-state

[harmless]

как осуществить вот такое
открить на

Код: Выделить всё

192.168.2.0/24

проход сервера
а на

Код: Выделить всё

192.168.0.0/16

закрыть!!????

[Slab]

Код: Выделить всё

########## DENY ALL ##########

${fwcmd} add deny ip from any to any setup

вот это правило, как раз не запрещает все
а только запрещает прохождение tcp пакетов на установление соединения, а остальные пропускает.
Например, пинг пройдет.

[harmless]

а почему контра на нет не проходит!??
я уже не знаю что делать!

[harmless]

делаю вот так

Код: Выделить всё

#!/bin/sh

#########################################

FwCMD="/sbin/ipfw"            # бинарник IPFW

LanOut="vr0"                  # Внешняя сетевуха
NetOut="192.168.2.0/24"   	# внешняя сеть
IpOut="192.168.2.2"       	# Внешний IP

LanIn="vr1"                   # внутренняя сетевуха
NetIn="192.168.1.0/24"        # Внутренняя сеть
ip_lan="192.168.1"            # Шаблон внутреннего адреса 
                              
#############################################

# сбрасываем все правила
${FwCMD} -f flush

# сбрасываем все pipe
${FwCMD} -f pipe flush

# сбрасываем очереди
${FwCMD} -f queue flush


# Разрешаем весь траффик по внутреннему интерфейсу (петле)
${FwCMD} add allow ip from any to any via lo0

# Вводим запреты:

# рубим попытки lo0 куда-то лезть и откуда-то лезть на lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any

# рубим пакеты типа от внутренней сети, но на внешнем интерфейсе
${FwCMD} add deny ip from ${NetIn} to any in via ${LanOut}

# рубим пакеты типа от внешней сети, но на внутреннем интерфейсе
${FwCMD} add deny ip from ${NetOut} to any in via ${LanIn}

# режем частные сети на внешнем интерфейсе - по легенде он у нас 
# смотрит в интернет, а значит пакетам этим браться неоткуда на нём.

# рубим частные сeти
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
#${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}

# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}

# рубаем мультикастовые рассылки
${FwCMD} add deny ip from any to 224.0.0.0/4 in via ${LanOut}

# рубаем мультикастовые рассылки
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}

# рубим фрагментированные icmp
${FwCMD} add deny icmp from any to any frag

# рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

# Делаем NAT (трансляцию сетевых адресов) всему
${FwCMD} add divert natd ip from ${NetIn} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}

# рубим траффик к частным сетям через внешний интерфейс
###################${FwCMD} add allow ip from 192.168.2.0/24 to any out via ${LanOut}
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
################${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}

# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}

# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}

# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}

# разрешаем некоторые типы ICMP траффика - эхо-запрос, 
# эхо-ответ и время жизни пакета истекло
${FwCMD} add allow icmp from any to any icmptypes 0,8,11

# Разрешаем траффик внутренней сети на внутреннем интерфейсе (входящий)
${FwCMD} add allow ip from any to ${NetIn} in via ${LanIn}

# Разрешаем траффик внутренней сети на внутреннем интерфейсе (исходящий)
${FwCMD} add allow ip from ${NetIn} to any out via ${LanIn}

# разрешаем tcp-пакеты по уже установленным соединениям
${FwCMD} add allow tcp from any to any established

# DNS - 4 правила. (если на машине есть DNS сервер - иначе надо всего два)
${FwCMD} add allow udp from any to ${IpOut} 53 in via ${LanOut}
${FwCMD} add allow udp from ${IpOut} 53 to any out via ${LanOut}
${FwCMD} add allow udp from any 53 to ${IpOut} in via ${LanOut}
${FwCMD} add allow udp from ${IpOut} to any 53 out via ${LanOut}

# разрешаем UDP (для синхронизации времени - 123 порт)
${FwCMD} add allow udp from any to any 123 via ${LanOut}

# разрешаем снаружи соединяться с 53 портом (TCP DNS)
${FwCMD} add allow tcp from any to ${IpOut} 53 in via ${LanOut} setup

# разрешаем SSH
${FwCMD} add allow tcp from any to ${IpOut} 22 in via ${LanOut} setup

# COUNTER-STRIKE (без комментариев :))
${FwCMD} add allow udp from any 27015-27025 to ${NetIn} in via ${LanOut}
${FwCMD} add allow udp from any 27015-27025 to ${NetIn} out via ${LanIn}
${FwCMD} add allow udp from ${NetIn} to any 27015-27025 in via ${LanIn}
${FwCMD} add allow udp from ${IpOut} to any 27015-27025 out via ${LanOut}

# Блокируем все остальные попытки соединения с занесением в логи
${FwCMD} add deny log tcp from any to ${IpOut} in via ${LanOut} setup

${FwCMD} add allow tcp from ${IpOut} to any out via ${LanOut} setup
${FwCMD} add allow tcp from any to ${IpOut} in via ${LanIn} setup

########### BEGIN USERS   ###############################

# Пользователи которым разрешён инет
${FwCMD} add allow tcp from ${ip_lan}.10 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.11 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.12 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.14 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.15 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.16 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.17 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.18 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.19 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.20 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.21 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.22 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.24 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.25 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.26 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.27 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.28 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.29 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.30 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.31 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.32 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.33 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.34 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.35 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.36 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.37 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.38 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.39 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.40 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.41 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.42 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.43 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.44 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.45 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.46 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.47 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.48 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.49 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.50 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.51 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.52 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.53 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.54 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.55 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.56 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.57 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.58 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.59 to not ${NetIn} in via ${LanIn} setup
#${FwCMD} add allow tcp from ${ip_lan}.60 to not ${NetIn} in via ${LanIn} setup

############# END USERS #################################



# запрещаем всё и всем. Если тип файрволла не open то это правило добавится
# автоматически, но всё-же ну его. Лучше сам. Надёжней.
${FwCMD} add deny ip from any to any

плюс сверху приписываю пайпы!
так пройдет??????

[Slab]

покажи еще вывод

ps -ax | grep natd

[harmless]

BLC_Homes_Lan# 503 ?? Ss 0:00.02 /sbin/natd -m -u -n vr1
963 p0 S+ 0:00.00 grep natd
BLC_Homes_Lan# 503 ?? Ss 0:00.02 /sbin/natd -m -u -n vr1
503: No match.
503: No match.
963 p0 S+ 0:00.00 grep natd
BLC_Homes_Lan# 963 p0 S+ 0:00.00 grep natd
963: Command not found.
BLC_Homes_Lan# 963 p0 S+ 0:00.00 grep natd
963: Command not found.
BLC_Homes_Lan# BLC_Homes_Lan# 503 ?? Ss 0:00.02 /sbin/natd -m -u -n vr1
BLC_Homes_Lan#: No match.
BLC_Homes_Lan# 503: No match.
503:: Too many arguments.
BLC_Homes_Lan# 963 p0 S+ 0:00.00 grep natd
963: Command not found.
BLC_Homes_Lan# BLC_Homes_Lan# 963 p0 S+ 0:00.00 grep natd
BLC_Homes_Lan#: Command not found.
BLC_Homes_Lan# 963: Command not found.
963:: Too many arguments.
просто файлы конфы у меня есть так как заливал с диска!
а что контра не проходит то это факт!
нат натит норм!

[Slab]

defaultrouter="192.168.1.1"
gateway_enable="YES"
hostname="harmless.kiev.ua"
ifconfig_vr0="inet 192.168.111.111 netmask 255.255.0.0"
ifconfig_vr1="inet 192.168.1.8 netmask 255.255.255.0"
natd_flags="-m -u"
natd_interface="vr0"
firewall_enable="YES"
firewall_script="/etc/firewall.conf"
firewall_logging="YES"
[/code]
я к чему спросил, судя по этому конфигу у тебя нат не на том интерфейсе запущен
то есть ему надо дать внешний интерфейс

[harmless]

Код: Выделить всё

LanOut="vr1"                  # Внешняя сетевуха
NetOut="192.168.2.0/24"   	# внешняя сеть
IpOut="192.168.2.2"       	# Внешний IP

LanIn="vr2"                   # внутренняя сетевуха
NetIn="192.168.1.0/24"        # Внутренняя сеть
ip_lan="192.168.1"            # Шаблон внутреннего адреса 

сорри не так выложил
нат работает норм

[harmless]

сам нет работает норм(почти если не считать то что пайпы както странно режут скорость(прыжками на 1024 - с 6 до 987))
вот только контра не пролазит никак через шлюз(может все пакеты лезут на сервак который на шлюзе стоит!?хз! )