Нужно такое:
Шлюз       IP 192.168.1.1 rl1
           IP 10.0.0.1    rl0

Внешний    IP 11.0.100.2  ng0

Клиентская сеть 10.0.0.0/8
                192.168.1.0/24

ОС         FreeBSD 5.3

Нужно организовывать доступ в интернет пользователям с двух сетей с подсчетом трафика через IPA.
Вот мой конфиг ipfw:
#!/bin/sh
ipfw='/sbin/ipfw -f'
${ipfw} flush

${ipfw} add divert natd ip from 192.168.1.0/24 to any out xmit ng0
${ipfw} add divert natd ip from 10.0.0.0/8 to any out xmit ng0
${ipfw} add divert natd ip from any to 11.0.100.2
${ipfw} add allow ip from any to any via lo0
${ipfw} add deny ip from any to 127.0.0.1/8
${ipfw} add deny ip from 127.0.0.1/8 to any
${ipfw} add allow icmp from any to any
${ipfw} add allow ip from me to any keep-state
${ipfw} add allow ip from any to me keep-state
${ipfw} add allow ip from 192.168.1.2 to any keep-state
${ipfw} add allow ip from any to 192.168.1.2 keep-state
${ipfw} add allow ip from 10.0.0.5 to any keep-state
${ipfw} add allow ip from any to 10.0.0.5 keep-state

Вот после некоторых часов работы ipfw show:

00100  40484  2239405 divert 8668 ip from 192.168.1.0/24 to any out xmit ng0
00200  38653  1749946 divert 8668 ip from 10.0.0.0/8 to any out xmit ng0
00300  89075 29025461 divert 8668 ip from any to 11.0.100.2
00400    122    31338 allow ip from any to any via lo0
00500      0        0 deny ip from any to 127.0.0.0/8
00600      0        0 deny ip from 127.0.0.0/8 to any
00700    554    49832 allow icmp from any to any
00800 195365 77656406 allow ip from me to any keep-state
00900  61000  4045434 allow ip from any to me keep-state
01000 118177 13423741 allow ip from 192.168.1.2 to any keep-state
01100    229    11129 allow ip from any to 192.168.1.2 keep-state
01200 113965 12774764 allow ip from 10.0.0.5 to any keep-state
01300     11      440 allow ip from any to 10.0.0.5 keep-state
65535    601    78900 deny ip from any to any

Вопрос почему в правилах 110 и 1300 так мало трафика, этоже не может быть?

• Нужна ваша критика и помощь,vadimx, 19:25 , 09-Авг-05
• Нужна ваша критика и помощь,Frukt, 07:28 , 10-Авг-05
  • Нужна ваша критика и помощь,vadimx, 11:31 , 11-Авг-05
    • Нужна ваша критика и помощь,Frukt, 07:37 , 12-Авг-05
      • Нужна ваша критика и помощь,vadimx, 05:50 , 17-Авг-05
        • Нужна ваша критика и помощь,Frukt, 06:50 , 17-Авг-05
          • Нужна ваша критика и помощь,antoshkin, 14:44 , 18-Авг-05
            • Нужна ваша критика и помощь,Frukt, 14:49 , 18-Авг-05
              • Нужна ваша критика и помощь,vadimx, 00:31 , 19-Авг-05
                • Нужна ваша критика и помощь,Frukt, 06:58 , 19-Авг-05
            • Нужна ваша критика и помощь,Frukt, 14:50 , 18-Авг-05

Ну что никто не поможет?

Ты знаешь сделай any to any и всё заработает .. а вообще зайди в поиск и найди рабочии конфиги и правь под себя. И откуды ты всё это выкапал?
И зачем вы поднимате нат на  divert 8668 ip from 192.168.1.0/24 to any out xmit ng0 ..внутренню сетку?...в общем в поиск.. или всё по порядку.
И начинать надо с 1 сети чтоб она заработала а не за всё сразу. Причём вторую сеть можно привязать через алиас. Если конечно клиенты не против.

>Ты знаешь сделай any to any и всё заработает .. а вообще
>зайди в поиск и найди рабочии конфиги и правь под себя.
>И откуды ты всё это выкапал?
>И зачем вы поднимате нат на  divert 8668 ip from 192.168.1.0/24
>to any out xmit ng0 ..внутренню сетку?...в общем в поиск.. или
>всё по порядку.
>И начинать надо с 1 сети чтоб она заработала а не за
>всё сразу. Причём вторую сеть можно привязать через алиас. Если конечно
>клиенты не против.

Если я сделаю any to any, то тогда не смогу разрешать инет определенным клиентам, буду лезть все.
Выкапал, сам коечто подумал и на сайтах почутьчуть ))
А если нат не поднимать какой в нете у них ИП будет?
Неспорю, по очереди надо, но у меня ни там ни там выходной трафик не работает ((

нат требуется поднимать только на внешнем интерфейсе а не на всех.
Я не знаю кто как но я стараюсь сначало сделать чтоб всё работало а потом прижимать. Для меня так проще. Если у Вас 1 IP то в любом случае придётся над поднимать.

>нат требуется поднимать только на внешнем интерфейсе а не на всех.
>Я не знаю кто как но я стараюсь сначало сделать чтоб всё
>работало а потом прижимать. Для меня так проще. Если у Вас
>1 IP то в любом случае придётся над поднимать.

А я на какой интерфейс поднял? ))))

${ipfw} add divert natd ip from 192.168.1.0/24 to any out xmit ng0
${ipfw} add divert natd ip from 10.0.0.0/8 to any out xmit ng0
${ipfw} add divert natd ip from any to 11.0.100.2

а это что ?

>${ipfw} add divert natd ip from 192.168.1.0/24 to any out xmit ng0
>
>${ipfw} add divert natd ip from 10.0.0.0/8 to any out xmit ng0
>
>${ipfw} add divert natd ip from any to 11.0.100.2
>
>а это что ?

Это эквивалентно одному правилу: divert natd ip from any to any via ng0
НАТ у него действительно на одном интерфейсе, просто правилами этими исключается НАТ с "чужих" адресов, только своя сетка.

ну интересное поставление я обычно правилом deny закрываю....

>ну интересное поставление я обычно правилом deny закрываю....

На каждую возможную сеть будешь deny писать? )))

я разрешаю только тем кто может работать и по каким портам а дальше всё запрещаю....
на счёт подсеток.
я привязываю сети через алиас к интерфейсу и всё
и причём тут .......исключается НАТ с "чужих" адресов, только своя сетка... не будет нат работать из чюжой сети . он через шлюз не пройдёт...

да тут напутано вобщем в поиск и там есть настройка поиска