Mykola Dzham wrote: > > > > В ipfw с появлением ядерного nat конфигурация IMHO упростилась (не > > надо думать про пакет, который появляется обратно из divert, ведь > > действие "nat" при net.inet.ip.fw.one_pass=1 равносильно "permit"?), но всё > > равно остаётся много непонятного. Вот взять простейший набор правил > > для домашнего шлюза: > > > > nat 2 config if fxp0 deny_in > > 00100 check-state > > # in > > 00200 allow tcp from any to me dst-port 22,6890-6999 in via fxp0 > > 00300 nat 2 ip from any to any in via fxp0 > > # out > > 00400 nat 2 ip from 192.168.1.0/24 to any out via fxp0 > > 00500 nat 2 ip from 10.0.0.0/8 to any out via fxp0 > > 00600 allow ip from any to any out via fxp0 keep-state > > 65535 allow ip from any to any > > > > С устройств, живущих в INSIDE сети, можно нормально ходить в Интернет > > через NAT, т.е. это работает. А вот с самого шлюза > > "telnet -s 192.168.1.1 ya.ru 80" не работает почему-то? Почему? По > > моему разумению, оно должно уходить в Интернет через 400 правило и > > возвращаться через 300-е. > > Для того, чтобы ответить на "почему?", нужно заняться диагностикой. Для
Т.е. явных ошибок в приведенных правилах нет? Тогда конечно займусь диагностикой. [dd] > > Зачем Вы пересказываете лог вместо того, чтобы его показать? Потому что полагал, что допустил ошибку в правилах, на которую мне укажут. Правила я привел, описание проблемы тоже. -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN sip:[email protected]
