On Fri, 30 Apr 2004, Pavel Gulchouck wrote:
ipfw add allow all from any to me in recv fxp0 ipfw add allow all from 192.168.5.220 to any in recv fxp0 ipfw add deny all from any to any in recv fxp0 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ я не могу так делать. на этой же тачке до фига других сервисов крутится для серой сетки.
Это правило закрывает forward из внутренней сетки вовне для всех, кроме явно разрешенного в предыдущем правиле IP. Как раз то, что в iptables попадает в FORWARD, потому что аналог INPUT отработан в первом правиле (которое тоже можно заменить на более подробное описание, что нужно разрешить, а что запретить).
То есть, правила allow/deny, которые тебе нужны, пусть отрабатываются на внутреннем интерфейсе, а nat будет работать, когда пакеты проходят через внешний интерфейс. понятно, но даже с учетом этого - не будет это работать. покажу весь скрипт, может я чего-то не понимаю. сетка - локалка, доступ через VPN и squid. 1 или 2 машины - должны иметь доступ через nat. что можно сделать? 5.xx - localka, 7.xx vpn.
#!/bin/sh ipfw -f flush ipfw add 100 check-state ipfw add 200 allow all from any to any via lo0 ipfw add 300 deny all from 10.0.0.0/8 to any in via tun0 ipfw add 400 deny all from 172.16.0.0/12 to any in via tun0 ipfw add 500 deny all from 192.168.0.0/16 to any in via tun0 ipfw add 600 divert natd all from 192.168.5.220 to any out xmit tun0 ipfw add 700 divert natd all from any to any in recv tun0 ipfw add 800 allow all from any to any ipfw add 900 allow icmp from any to any ipfw add 1000 deny all from any to any frag ipfw add 1100 deny all from 192.168.5.0/24 to any xmit tun0 ipfw add 1200 deny all from 192.168.7.0/24 to any xmit tun0 ipfw add 1300 allow gre from 192.168.5.0/24 to me ipfw add 1400 allow gre from me to any ipfw add 1500 allow udp from me to any keep-state ipfw add 1600 allow tcp from me to any keep-state ipfw add 1700 allow tcp from any to any established ipfw add 1800 allow tcp from any to me 25 setup ipfw add 1900 allow tcp from any to me ssh setup ipfw add 2000 allow tcp from 192.168.7.0/24 to me 3128 setup ipfw add 2100 allow tcp from 192.168.7.0/24 to me 2080 setup via ppp\* ipfw add 2200 allow tcp from 192.168.7.0/24 to me pop3 setup via ppp\* ipfw add 2300 allow tcp from any to me http setup via tun0 ipfw add 2400 allow tcp from 192.168.7.0/24 to me setup via ppp\* ipfw add 2500 allow tcp from 192.168.5.0/24 to me pptp setup ipfw add 2600 allow tcp from 192.168.5.0/24 to me ftp\\-data-ftp setup via sk0 ipfw add 2700 allow udp from 192.168.7.0/24 to me 53 ipfw add 2800 allow udp from 192.168.5.0/24 to me 53 ipfw add 2900 allow tcp from any to me 53 setup ipfw add 3000 deny log all from any to any -- With best regards, Gregory Edigarov =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message