Есть машина подключенная к интернету через kernel-ppp. На ней крутится роутер, дающий интернет на вторую машину, соединенную с первой через сеть. Пробовал разные наборы правил, настроеные под себя, пробовал писать свои. Пинги с роутера и клиентской машины в интернет идут. Браузер на роутере заходит на любой сайт. Браузер на клиенте не имеет доступа в интернет.

Лог говорит, что режутся пакеты:

Deny UDP XXX.XXX.XXX.XXX:53 192.168.Х.Х (адрес клиентской машины)

Deny TCP адрес.сервера.с.которого.запрашиваю.страницу:80 192.168.х.х

В правилах пробовал прописывать после правил 53 и 80 портов:

allow all from any 53,80 to any via ppp0 или то же, только вместо назначения any - адрес клиентской машины.

Всеравно не находит схожего правила и режет пакеты.

Интернет на клиентской машине появляется только при:

allow all from any to any

Привожу свои правила:

#!/bin/sh

/sbin/ipfw -q flush

cmd="/sbin/ipfw -q add"
oif="ppp0"
iif="rl0"
lan="192.168.0.0/8"
ns1="XXX.XXX.XXX.XXX"
ns2="XXX.XXX.XXX.XXX"

$cmd 25 allow all from any to any via $iif
$cmd 50 divert natd all from any to any via $oif
$cmd 75 check-state
$cmd 100 allow udp from any to $ns1 53 out via $oif keep-state
$cmd 101 allow tcp from any to $ns1 53 out via $oif setup keep-state
------/то же для второго ns/--------
$cmd 200 allow tcp from any to any 80 via $oif setup keep-state
$cmd 300 allow icmp from any to any
$cmd 65530 deny log all from any to any

кусок rc.conf с natd и firewall:

gateway_enable="YES"
firewall_enable="YES"
firewall_script="ipfw.conf"
natd_enable="YES"
natd_interface="ppp0"
natd_flags="-dynamic"

icmp_drop_redirect="YES"
icmp_log_redirect="YES"
icmp_bmcastecho="NO"
tcp_drop_synfin="YES"

Ядро компилил без default_to_acсept:

options IPFIREWALL
options IPDIVERT
options IPFIREWALL_VERBOSE
options IPFIREWALL_FORWARD

sysctl.conf:

net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
kern.ipc.somaxconn=1024
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
net.inet.ip.redirect=1
net.inet.icmp.icmplimit=100
net.link.ether.inet.max_age=1200
net.inet.icmp.maskrepl=0
net.inet.ip.sourceroute=0
net.inet.ip.accept_sourceroute=0
net.inet.icmp.bmcastecho=0
net.inet.ip.random_id=1

• IPFW нет http доступа в интернет на клиентской машине,DenSha, 14:20 , 11-Янв-10

>allow all from any 53,80 to any via ppp0 или то же,

а для интерфейса <клиент - роутер>