https://opennet.dev/openforum/vsluhforumID10/5041.html Доброго всем времени суток. Только начинаю изучать основы FreeBSD, поэтому не пинайте сильно ногами плз :) По поиску ничего не смог найти. Суть проблемы такова:<br>По документации http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/firewalls-ipfw.html практически 1 в 1 скатал файл правил для варианта с NATом, в результате получив такое(лишнее не привожу, дабы избежать оверквотинга):<br><br>#################################################################<br>#!/bin/sh<br>ipfw -q -f flush<br>sysctl net.inet.ip.fw.autoinc_step=10<br>cmd="ipfw -q add"<br>skip="skipto 65000"<br>pif="bfe0"<br>ipfw nat 1 config log if $pif reset same_ports deny_in<br>$cmd nat 1 ip from any to any in via $pif<br>$cmd check-state<br>....<br>$cmd $skip tcp from any to any 80 out via $pif setup keep-state<br>$cmd $skip tcp from any to any 443 out via $pif setup keep-state<br>$cmd $skip tcp from any to any 5938 out via $pif setup keep-state<br>$cmd $skip udp from any to any 5938 out via $pif keep-state<br>....<br>$cmd 60000 deny log all from any to any out via $pif<br>$cmd https://opennet.dev/openforum/vsluhforumID10/5041.html#6 Sat, 07 Dec 2013 13:42:08 GMT возьми в руки IP-пакет и пройдись по правилам.<br>я так понимаю, xl0 - внутренний интерфейс, bfe0 - внешний<br>идет клиент на гугель-443 к примеру, то есть в начале у нас идет SETUP.<br>входит на интерфейс xl0, попадает на правило 10 - разрешено. пакет уходит на второй круг. теперь он исходящий пакет, должен быть выпнут наружу в соответствии с таблицей маршрутизации. он успешно доходит до правила 80, которое создает динамическую запись и скидывает пакет на правило 65000, там его в НАТ и наружу.<br>теперь клиент шлёт уже не-SETUP пакеты, поэтому правило 80 не сработает, хотя исходящий пакет и попадет на него благодаря check-state. после "провала" на правиле 80 у пакета одна дорога - на правило 60000<br><br>Если кратко - убери check-state и keep-state. Эти директивы обычно применяют для правильного роутинга пакетов входящих с наружи на внутренние машины, то есть когда у тебя пудличные сервисы за НАТ-ом.<br>Когда ты просто раздаешь интернет для внутренней сети такие динамические правила не приносят никакой пользы, особенно дл https://opennet.dev/openforum/vsluhforumID10/5041.html#5 Wed, 13 Jun 2012 09:27:07 GMT &gt; То есть, натится правильно, но не все? Может посмотреть в сторону net.inet.ip.fw.dyn_max <br>&gt; (http://ipfw.ism.kiev.ua/nipfw.html) и разных net.inet.ip.fw.ляля_lifetime (http://bezopasnik.org/unix/dok/BSDA-course/apes01.html)? <br><br>Быть может и так, вечером покручу - посмотрю что будет. Хотя я тут подумал, что может мой косяк в том что, как и в вопросе http://www.opennet.ru/openforum/vsluhforumID10/5045.html параметр net.inet.ip.fw.one_pass установлен в 1... Вечером проверю отпишусь.<br> https://opennet.dev/openforum/vsluhforumID10/5041.html#4 Wed, 13 Jun 2012 05:50:03 GMT Насколько я понимаю, конструкция для tcp 'setup keep-state' запоминает (keep-state) в таблице динамических правил правила для пакетов, имеющих признак (setup) установки соединения. Когда прилетает пакет, такого признака не имеющий, а динамического правила для него уже или еще нет (устарело и сброшено, либо пакет левый), он проскочит до 60000. Это ИМХО.<br> https://opennet.dev/openforum/vsluhforumID10/5041.html#3 Wed, 13 Jun 2012 05:16:37 GMT То есть, натится правильно, но не все? Может посмотреть в сторону net.inet.ip.fw.dyn_max (http://ipfw.ism.kiev.ua/nipfw.html) и разных net.inet.ip.fw.ляля_lifetime (http://bezopasnik.org/unix/dok/BSDA-course/apes01.html)?<br> https://opennet.dev/openforum/vsluhforumID10/5041.html#2 Sun, 10 Jun 2012 18:04:06 GMT &gt; А ipfw show что показывает?<br><br>Показывает такое:<br><br>00010 1486 376555 allow ip from any to any via xl0<br>00020 8 760 allow ip from any to any via lo0<br>00030 508 168327 nat 1 ip from any to any in via bfe0<br>00040 0 0 check-state<br>00050 0 0 skipto 65000 tcp from any to any dst-port 53 out via bfe0 setup keep-state<br>00060 32 2447 skipto 65000 udp from any to any dst-port 53 out via bfe0 keep-state<br>00070 272 84666 skipto 65000 tcp from any to any dst-port 80 out via bfe0 setup keep-state<br>00080 44 9875 skipto 65000 tcp from any to any dst-port 443 out via bfe0 setup keep-state<br>00090 0 0 skipto 65000 tcp from any to any dst-port 25 out via bfe0 setup keep-state<br>00100 0 0 skipto 65000 tcp from any to any dst-port 110 out via bfe0 setup keep-state<br>00110 0 0 skipto 65000 tcp from me to any out via bfe0 setup uid root keep-state<br>00120 0 0 skipto 65000 icmp from any to any out via bfe0 keep-state<br>00130 0 0 skipto 65000 tcp from any to any ds https://opennet.dev/openforum/vsluhforumID10/5041.html#1 Fri, 08 Jun 2012 12:40:19 GMT А ipfw show что показывает?<br>