xl0: 192.168.0.1 netmask 255.255.255.0
xl1: 193.73.212.130 netmask 255.255.255.224

пров сказал, что:

route add -net 193.73.212.0/25 193.73.212.130

Как динамикой раздать с помощью natd 193.73.212.0/25 внутрь локалки.
маршрутизацию не предлагать.

что-то наподобие: natd -redirect_address 192.168.0.1/24 193.73.212.0/25
но натд не понимает сети. только пару адресов.

есть варианты? спасибо.

• FreeBSD6+natd+реальники,aleks, 18:46 , 29-Май-08
  • FreeBSD6+natd+реальники,lv10, 02:25 , 30-Май-08
    • FreeBSD6+natd+реальники,aleks, 10:23 , 30-Май-08
      • FreeBSD6+natd+реальники,lv10, 16:01 , 30-Май-08
        • FreeBSD6+natd+реальники,lv10, 23:32 , 01-Июн-08

>[оверквотинг удален]
>
>route add -net 193.73.212.0/25 193.73.212.130
>
>Как динамикой раздать с помощью natd 193.73.212.0/25 внутрь локалки.
>маршрутизацию не предлагать.
>
>что-то наподобие: natd -redirect_address 192.168.0.1/24 193.73.212.0/25
>но натд не понимает сети. только пару адресов.
>
>есть варианты? спасибо.

Пользуем решение основаное на ipnat под freebsd6

в ядре:
options IPFILTER

/etc/rc.conf
ipnat_enable="YES"

/etc/ipnat.rules
# Серый пул натим в белый пул
map xl1 192.168.0.1/24 -> 193.73.212.0/25 portmap tcp/udp auto
map xl1 192.168.0.1/24 -> 193.73.212.0/25
# Один серый адрес натим в 1 белый адрес
bimap xl1  192.168.0.2 -> 193.73.212.2

Файрвол
это даёт доступ хосту 192.168.0.2
ipfw add 4999  allow ip from 192.168.0.2 to any in recv xl0
всем хостам для которых нет записи типа 4999 доступа в инет нет
ipfw add 60000 deny ip from any to any in recv xl0
разрешаем всё что не закрыто, в том числе и инет на внешнем интерфейсе
ipfw add 65534 allow ip from any to any

Спасибо, то, что надо.
Все заработало.

Как без перезагрузки компа применить внесенные изменения в файл /etc/ipnat.rules ???

>Спасибо, то, что надо.
>Все заработало.
>
>Как без перезагрузки компа применить внесенные изменения в файл /etc/ipnat.rules ???

/etc/rc.d/ipnat restart

Поспешил я, что все работает...

bash-2.05b# ipfw show
00002 955 186488 allow ip from any to any via rl0
00003   0      0 allow ip from any to any via lo0
00004   0      0 allow tcp from any to me dst-port 22 via rl0
00005   0      0 allow tcp from me to any via rl0
00010   0      0 allow tcp from any to me dst-port 5555 via rl0
00015   0      0 allow udp from any to me dst-port 5555 via rl0
00020   0      0 allow udp from me to any via rl0
20000   0      0 deny ip from 192.168.0.0/16 to any in via re0
20001   0      0 deny ip from 172.16.0.0/12 to any in via re0
20002   0      0 deny ip from 10.0.0.0/8 to any in via re0
20003   0      0 deny ip from 127.0.0.0/8 to any in via re0
20004   0      0 deny ip from 0.0.0.0/8 to any in via re0
20005   0      0 deny ip from 169.254.0.0/16 to any in via re0
20006   0      0 deny ip from 192.0.2.0/24 to any in via re0
20007   0      0 deny ip from 204.152.64.0/23 to any in via re0
20008   0      0 deny ip from 224.0.0.0/3 to any in via re0
30002 359  56151 allow ip from 193.73.212.2 to any
30003 279  83758 allow ip from any to 193.73.212.2
65450   3    494 deny log ip from any to any
65535  32   3332 allow ip from any to any

Вот при таких правилах, инет работает, трассировка идет, но здесь я оперировал реальными айпи-адресами.  bimap xl1  192.168.0.2 -> 193.73.212.2

если в правилах 30002(30003) вместо реальника поставить внутренний айпи-адрес (192.168.0.2) то инет не работает, трассировка не идет...

Как настроить правила, используя внутренние айпи-адреса?
Как заставить ipfw отрабатывать ранее, чем ipnat

Тут схожая проблема:
http://www.opennet.me/openforum/vsluhforumID1/40786.html

друзья, неужели никто не знает, как заставить сначала работать ipfw, а уж потом ipnat?