forum.lissyara.su

Добавлено: **2018-01-25 23:50:04**

Всем привет!!!! Стоит шлюз FreeBSD (ipfw, dhcp и.т.д) внешний ip (10.1.1.20) Lan (192.168.10.0/24). Вопрос такой, настраивал ipfw по этой статье Пример файла правил #2: https://www.freebsd.org/doc/ru/books/ha ... -ipfw.html. Стоит natd.

Код: Выделить всё

natd.conf
same_ports
unregistered_only

redirect_port tcp 192.168.10.2:5960 5960

Проблема в том, что если применить эти правила https://www.freebsd.org/doc/ru/books/ha ... -ipfw.html , то c портом в nat не соединяет (5960), но если разрешить все, то естественно все без проблем работает. Клиенты инет видят.
Закрываю сеть.Пишу разрешающие правила
$cmd 381 allow tcp from any to 192.168.10.2 5960 in via $LanOut
$cmd 382 allow tcp 192.168.10.2 5960 to any out via $LanOut

Проверяю tcpdump выдает из инета в сеть [S] и [S.] из локалки в инет, и дальше тишина. Что еще для него нужно не пойму.

Добавлено: **2018-03-02 15:09:50**

выбрось натд нах. пользуй пф или ипфв нат

Добавлено: **2018-03-04 23:49:43**

2 Даниил +1

2 petr_al
конфига для pf + mpd5(который тоже натит)

Код: Выделить всё

LAN0="int0"
WAN="ext0"
VPN="ng0"
icmp_types="{echoreq,echorep,unreach}"

set limit { states 40000, src-nodes 20000, frags 20000 }
set block-policy drop
set skip on {lo0,$LAN0}
set optimization normal
scrub in all

nat on $WAN from $LAN0:network to any -> ($WAN)

antispoof quick for {$WAN,$LAN0}

block all
block quick inet6 all

pass in quick on $VPN inet proto tcp from any to ($VPN) port {22} keep state label "ssh"
#pass in quick on $VPN inet proto tcp from any to ($VPN) port {80} keep state label "www"
#pass in quick on $VPN inet proto tcp from any to ($VPN) port {22000} keep state label "syncthing"
pass in inet proto icmp all icmp-type $icmp_types

pass out on {$WAN,$VPN} inet all

forum.lissyara.su

ipfw+nat+ssh

ipfw+nat+ssh

ipfw+nat+ssh

ipfw+nat+ssh