https://mobile.opennet.me/openforum/vsluhforumID1/79929.html Задача:<br><br>есть фрибсд (70) сервер - em0 смотрит в мир, rl0 - смотрит в домашнюю локалку<br>надо разрешить пользователям из домашней (все виндовсы) сети выход "в люди".<br><br>0. пересобрал ядрышко<br><br>1. честно слизал пример<br>-----------------------------------------------------------<br> #!/bin/sh<br> ipfw='/sbin/ipfw -q'<br> ournet='192.168.0.1/24'<br> uprefix='192.168.0'<br> ifout='em0'<br> ifuser='rl0'<br> ${ipfw} flush<br> ${ipfw} add 100 check-state<br> ${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17<br> ${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}<br> ${ipfw} add 300 allow ip from any to any via lo<br> ${ipfw} add 310 allow tcp from me to any keep-state via ${ifout}<br> ${ipfw} add 320 allow icmp from any to any<br> ${ipfw} add 330 allow udp from me to any domain keep-state<br> ${ipfw} add 340 allow udp from any to me domain<br> ${ipfw} add 350 allow ip from me to any<br> ${ipfw} add 400 allow tcp from any to me http,https,ssh<br> ${ipfw} add 410 allow tcp from not $ https://mobile.opennet.me/openforum/vsluhforumID1/79929.html#6 Tue, 22 Apr 2008 11:14:22 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; ${ipfw} add 1002 allow ip from any to ${uprefix}.2 via ${ifuser}<br>&gt;<br>&gt;Вполне возможно что тут не работает конкатенация. у меня почему-то она тоже <br>&gt;не работала. <br>&gt;<br>&gt;после выполнения скрипта сделай ipfw show и посмотри как реально отработал твой <br>&gt;скрипт. мой ipfw в таком случае забивал "${uprefix}.2" и прописывал только <br>&gt;"${uprefix}" что было ошибкой. <br>&gt;<br>&gt;в причинах не разбирался - переписал по-другому <br><br>[root@freedom /]# ipfw show<br>00100 0 0 check-state<br>00200 0 0 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17<br>00210 0 0 reject ip from 192.168.0.0/24 to any in via em0<br>00300 0 0 allow ip from any to any via lo<br>00310 154528 105538954 allow tcp from me to any via em0 keep-state<br>00320 475 26992 allow icmp from any to any<br>00330 158 17160 allow udp from me to any dst-port 53 keep-state<br>00340 0 0 allow udp from me to any dst-port 53<br>00350 0 0 allow ip from me to any<br>0 https://mobile.opennet.me/openforum/vsluhforumID1/79929.html#5 Tue, 22 Apr 2008 10:12:17 GMT &gt;&gt; ${ipfw} add 1002 allow ip from ${uprefix}.2 to any via ${ifuser}<br>&gt;&gt; ${ipfw} add 1002 allow ip from any to ${uprefix}.2 via ${ifuser}<br><br>Вполне возможно что тут не работает конкатенация. у меня почему-то она тоже не работала.<br><br>после выполнения скрипта сделай ipfw show и посмотри как реально отработал твой скрипт. мой ipfw в таком случае забивал "${uprefix}.2" и прописывал только "${uprefix}" что было ошибкой.<br><br>в причинах не разбирался - переписал по-другому<br> https://mobile.opennet.me/openforum/vsluhforumID1/79929.html#4 Tue, 22 Apr 2008 07:52:33 GMT &gt;&gt;&gt;Зачем вот это: "127.0.0.1,3128"? <br>&gt;&gt;&gt;Правило divert нада ставить первым. <br>&gt;&gt;<br>&gt;&gt;то есть еще перед чек-стейт? <br>&gt;&gt;разве это причина ошибки? <br>&gt;<br>&gt;Ядро надо пересобрать с divert и forward <br><br>IPDIVERT<br>IPFIREWALL<br>IPFIREWALL_FORWARD <br><br>в ядре есть<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID1/79929.html#3 Mon, 21 Apr 2008 23:57:35 GMT &gt;&gt;Зачем вот это: "127.0.0.1,3128"? <br>&gt;&gt;Правило divert нада ставить первым. <br>&gt;<br>&gt;то есть еще перед чек-стейт? <br>&gt;разве это причина ошибки? <br><br>Ядро надо пересобрать с divert и forward<br> https://mobile.opennet.me/openforum/vsluhforumID1/79929.html#2 Mon, 21 Apr 2008 19:26:02 GMT &gt;Зачем вот это: "127.0.0.1,3128"? <br>&gt;Правило divert нада ставить первым. <br><br>то есть еще перед чек-стейт?<br>разве это причина ошибки?<br><br> https://mobile.opennet.me/openforum/vsluhforumID1/79929.html#1 Mon, 21 Apr 2008 18:55:14 GMT Зачем вот это: "127.0.0.1,3128"? <br>Правило divert нада ставить первым.<br>