Вопрос по IPFW
Добавлено: 2010-03-13 15:42:16
Привет товарищи!
Решил привести в порядок правила фаервола, сделать всё по полочкам. В итоге чего-то не раздаётся натом инет в локалку.
ipfw show
Разрешили установить VPN с провайдером
Дал доступ ко мне только к разрешённым ресурсам.
В таблице 3 содержатся адреса локалок, чтобы серые адреса извне не лезли.
Мне можно всё.
Нужных клиентов заворачиваем на прозрачный прокси.
Неудачная попытка раздачи интернета
Остальное запрещаем и для отладки пишем в лог.
Так вот в логе при попытке вылезти из локалки в инет такие сообщения:
Я понимаю что этот пакет не via ng0 out чтоб завернуться на natd, но не понимаю как бы подправить чтоб заработало 
Пробовал перед дивертом ставить правило: но тогда на этом разрешающем правиле обработка и заканчивается...
Помогите пожалста разобраться
Решил привести в порядок правила фаервола, сделать всё по полочкам. В итоге чего-то не раздаётся натом инет в локалку.
ipfw show
Код: Выделить всё
00050 834 27304 allow ip from me to 10.0.0.1 via nfe0 out
00055 11729 1024957 allow ip from 10.0.0.1 to me via nfe0 inКод: Выделить всё
00100 0 0 check-state
00200 4 240 deny icmp from any to any in icmptypes 5,8,9,13,14,15,16,17
00300 11691 588087 deny tcp from any to me not dst-port 25,80,22222 in via ng0
00305 0 0 allow tcp from any to me dst-port 25,80,22222 in via ng0
00310 1 49 deny udp from any to me not dst-port 31194 in via ng0
00315 4 1639 allow udp from any to me dst-port 31194 in via ng0
00320 0 0 deny tcp from any to me not dst-port 53,80,22222 in via rl0
00325 0 0 allow tcp from any to me dst-port 53,80,22000 in via rl0
00330 0 0 deny udp from any to me not dst-port 53,123 in via rl0
00335 0 0 allow udp from any to me dst-port 53,123 in via rl0
00340 0 0 deny tcp from any to me not dst-port 53,80,22222 in via wlan0
00345 0 0 allow tcp from any to me dst-port 53,80,22222 in via wlan0
00350 0 0 deny udp from any to me not dst-port 53,123,31194 in via wlan0
00355 0 0 allow udp from any to me dst-port 53,123,31194 in via wlan0
00360 0 0 deny tcp from any to me not dst-port 53,80,22222 in via tun0
00370 0 0 deny udp from any to me not dst-port 123 in via tun0Код: Выделить всё
00400 0 0 deny ip from table(3) to me in via ng0Код: Выделить всё
00500 10 810 allow ip from me to any keep-stateКод: Выделить всё
00600 0 0 fwd 127.0.0.1,3128 ip from table(1) to not me dst-port 80,8080 via ng0 outКод: Выделить всё
00650 0 0 divert 8668 ip from table(2) to not me via ng0 outКод: Выделить всё
50000 139 13004 deny log logamount 100 ip from any to anyТак вот в логе при попытке вылезти из локалки в инет такие сообщения:
Код: Выделить всё
ipfw: 50000 Deny TCP 172.16.254.10:2992 91.207.59.36:80 in via rl0Пробовал перед дивертом ставить правило:
Код: Выделить всё
00640 allow all from table(2) to not meПомогите пожалста разобраться