Давайте рассмотрим такую ситуацию. На виртуальном интерфейсе (ng0) повесили мы НАТ. Расскажите пожалуста.
Каким образом нада строить правила так чтобы они обрабатывались (Я открываю явный доступ типа allow from any to me, и балалайка не происходит доступ ко мне).
Получаеться пакет попал в нат,а дальше непонятка,никакие правила не помогают его направлять или перенаправлять.Что происходит с пакетом когда он попадает в НАТ? Может какой-то существует механизм обработки пакетов после НАТА, извеняйте что так написал невнятно, просто запутался.
вот код фаера
Код: Выделить всё
#!/bin/sh
fwcmd='/sbin/ipfw -q'
iif="vr0"
eif="vr1"
pppoeif="ng0"
vpnif="ng1"
real="78.25.xx.xx"
pppoeip="213.227.216.xx"
iip="192.168.1.3"
eip="192.168.0.2"
ilocal="192.168.1.0/24"
#_____________________________________________________________________
${fwcmd} -f flush
${fwcmd} -f pipe flush
${fwcmd} add check-state
#PIPE_REZKA_SKOROSTI
${fwcmd} add pipe 1 tcp from any to 192.168.1.11 out
${fwcmd} pipe 1 config bw 2048Kbit/s
${fwcmd} add pipe 2 tcp from any to 192.168.1.42 out
${fwcmd} pipe 2 config bw 512Kbit/s
${fwcmd} add pipe 3 tcp from any to 192.168.1.100 out
${fwcmd} pipe 3 config bw 128Kbit/s
#_____________________________________________________________________
#pass all throuch loopback device
${fwcmd} add pass all from any to any via lo0
${fwcmd} add allow tcp from any to me 80
${fwcmd} add allow tcp from me 80 to any
#${fwcmd} add fwd 127.0.0.1,3128 tcp from ${ilocal} to any dst-port 80 via ${iif}
#deny other lo0
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny all from 127.0.0.0/8 to any
#deny net-bios
${fwcmd} add deny ip from any 137-139 to any
${fwcmd} add deny ip from any to any 137-139
#FTPD
#${fwcmd} add allow tcp from ${ilocal} to me 21
#${fwcmd} add allow tcp from me to ${ilocal} 21
#SSH for localhost allow
${fwcmd} add allow tcp from me 22 to any
${fwcmd} add allow tcp from any to me 22
#DNS transfer to world
${fwcmd} add allow udp from me 53 to any
${fwcmd} add allow udp from any to me 53
#_____________________________________________________________________
#Kernel NAT for PPPoE(MPD5) iface
${fwcmd} nat 123 config if ${pppoeif} log
${fwcmd} add nat 123 ip from any to any via ${pppoeif}
#WWW
${fwcmd} add allow tcp from ${ilocal} to me 80
${fwcmd} add allow tcp from me to ${ilocal} 80
#${fwcmd} add allow tcp from ${pppoeip} to me 80
#${fwcmd} add allow tcp from me to ${pppoeip} 80
#Something icmp (echo-repy,destunreach,echo-req,,time-exceded,tracert)
${fwcmd} add deny icmp from any to any frag
${fwcmd} add allow icmp from any to any icmptypes 0,3,4,8,10,11,30
#SSH from lan
${fwcmd} add allow tcp from ${ilocal} to any 22 keep-state
#Mail (smtp,pop3)
${fwcmd} add allow tcp from ${ilocal} to any 25,110
${fwcmd} add allow tcp from me to any
#PPtP GRE
${fwcmd} add allow all from ${pppoeif} to me 1723 setup
${fwcmd} add allow all from me to ${pppoeif} 1723 setup
${fwcmd} add allow gre from any to any
#${fwcmd} add deny ip from any to any
ifconfig - приведён выше
