Начитавшись умных статей в инете в том числе и на этом ресурсе появился вот такой не хитрый конфиг:${ipfw} add 200 deny ip from any to 10.0.0.0/8 in via ${wanif}
${ipfw} add 201 deny ip from any to 172.16.0.0/12 in via ${wanif}
${ipfw} add 202 deny ip from any to 0.0.0.0/8 in via ${wanif}
${ipfw} add 203 deny ip from any to 169.254.0.0/16 in via ${wanif}
${ipfw} add 204 deny ip from any to 240.0.0.0/4 in via ${wanif}
${ipfw} add 205 deny all from any to any frag
${ipfw} add 206 deny icmp from any to 255.255.255.255 in via ${wanif}
${ipfw} add 207 deny icmp from any to 255.255.255.255 out via ${wanif}
${ipfw} add 208 deny ip from 10.0.0.0/8 to any out via ${wanif}
${ipfw} add 209 deny ip from 172.16.0.0/12 to any out via ${wanif}
${ipfw} add 210 deny ip from 0.0.0.0/8 to any out via ${wanif}
${ipfw} add 211 deny ip from 169.254.0.0/16 to any via ${wanif}
${ipfw} add 212 deny ip from 240.0.0.0/4 to any out via $[wanif}
#${ipfw} add 213 deny ip from any to 192.168.0.0/16 in via ${wanif}
#${ipfw{ add 214 deny ip from 192.168.0.0/16 to any out via ${wanif}${ipfw} add 300 divert natd ip from ${lannet}/${netmask} to any out via ${wanif}
${ipfw} add 310 divert natd ip from any to ${wanip} in via ${wanif}#${ipfw} add 400 allow ip from ${wanip} to any out via ${wanif} setup keep-state
${ipfw} add 401 check-state${ipfw} add 500 allow tcp from ${wanip} to ${dns1} 53 out via ${wanif} setup keep-state
${ipfw} add 501 allow udp from ${wanip} to ${dns1} 53 out via ${wanif} keep-state
#${ipfw} add 502 allow tcp from ${dns2} 53 to any in via ${wanif}
#${ipfw} add 503 allow udp from ${dns2} 53 to any in via ${wanif}${ipfw} add 504 allow tcp from any to ${wanip} 22 in via ${wanif} setup keep-state
${ipfw} add 505 allow tcp from ${wanip} to any 21 out via ${wanif} setup keep-state
${ipfw} add 506 allow tcp from ${wanip} to any 49512-65535 out via ${wanif} setup keep-state
#${ipfw} add 507 allow udp from ${wanip} to any 21 out via ${wanif} keep-state
#${ipfw} add 508 allow udp from ${wanip} to any 49512-65535 out via ${wanif} keep-state
${ipfw} add 509 allow tcp from ${wanip} to any 80 out via ${wanif} setup keep-state${ipfw} add 700 allow icmp from any to any out icmptype 8
${ipfw} add 701 allow icmp from any to any in icmptype 0${ipfw} add 2000 deny ip from any to any
Машина тестовая, многое еще не отлажено, не применено, многое не изучино!
По итогам стендовых испытаний было понято что ftp корректно работать не хочет! При таком раскладе информация проходит внутрь системы только через определенные источники, а с остальными работать отказывается! Например при установке самбы из портов, некоторые пакеты для установки прошли, а при получении остальных вылезала ошибка либо отказано в доступе либо файл не найден! Если разрешить все для всех то все отлично бегает!
Кстати открытие 20-го порта результата никакого не дала!В поиск ходил, ни чего не нашел, но не исключен вариант, что плохо смотрел! Перед установкой изучил маны, но резалта нет!
Поможите чем можите, а то так есть хочется, что переночевать негде!
хотелось бы добавить, что нет никакого желания открывать много портов, только то, что необходимо для работы! В последующем настройка будет проводится конкретно под нужды пользователей!
вот тут про ftp есть
http://doronin2004.narod.ru/sait_it/it2_1.htm
может надо поиграться с keep-state, я уже не помню и думать не могу, т.к. пятница уже :)
Вообще-то ipfw по идеологии устарел уже. Я сам им пользовался - потом перешел на PF. И Вам советую- и НАТ нормально реализован и вообще... Можно при желании одновременно использовать и ipfw и pf. Тоже работает - проверено. Например, у меня правила count ipfw собирают статистику для mrtg, и то пока, потому что некогда разобраться как это сделать в pf. А к PF прикручивается ftpproxy для реализации ftp- мне тут только что опытные специалисты посоветовали, хотя сам еще не пробовал, но думаю должно пойти.
http://house.hcn-strela.ru/BSDCert/BSDA-course/apcs02.html#p...Иначе все равно придется открывать слишком много портов :-)