2011/10/17 Victor Sudakov <[email protected]>: > > nat 2 config if fxp0 deny_in > 00100 check-state > # in > 00200 allow tcp from any to me dst-port 22,6890-6999 in via fxp0 > 00300 nat 2 ip from any to any in via fxp0 > # out > 00400 nat 2 ip from 192.168.1.0/24 to any out via fxp0 > 00500 nat 2 ip from 10.0.0.0/8 to any out via fxp0 > 00600 allow ip from any to any out via fxp0 keep-state > 65535 allow ip from any to any > > С устройств, живущих в INSIDE сети, можно нормально ходить в Интернет > через NAT, т.е. это работает. А вот с самого шлюза > "telnet -s 192.168.1.1 ya.ru 80" не работает почему-то? Почему? По > моему разумению, оно должно уходить в Интернет через 400 правило и > возвращаться через 300-е. Да, должно работать. Вообще говоря локальный трафик (telnet ya.ru 80) должен и так работать. Для теста, попробуйте one_pass=0 И добавить правила явно разрешая/запрещая трафик.
ps. Я бы так не делал: nat deny_in (который трудно диагностровать) и при этом allow by default. -- Best regards, Andriy Yakovlev (AYA-RIPE)
