https://opennet.ru/openforum/vsluhforumID1/87569.html freeBSD 7.2<br>Пытаюсь настроить IPFW nat. Ядро пересобрал с:<br>optionsIPFIREWALL<br>optionsIPFIREWALL_VERBOSE<br>optionsIPFIREWALL_VERBOSE_LIMIT=100<br>optionsIPFIREWALL_NAT<br>optionsIPFIREWALL_FORWARD<br>optionsIPFIREWALL_DEFAULT_TO_ACCEPT #как разберусь с правилами - уберу ;)<br>optionsIPDIVERT<br>optionsDUMMYNET<br>optionsLIBALIAS<br>optionsHZ="1000"<br><br><br>В общем ситуация очень похожая на http://www.lissyara.su/?id=1967#example_1 (т.е. все очень просто). 2 интерфейса (внутренний sk0 (192.168.1.1/24) и внешний rl0 (10.1.28.192/20)). Вот только проблема в том, что на внешнем интерфейсе нужно поднимать PPPoE чтоб появился интернет. Айпи присваивается динамически dhcp сервером провайдера (можно конечного попробовать договориться на постоянный, но, предполагаю, что это будет стоить дополнительных денег). Доступ снаружи к серверу не нужен (я бы даже сказал нужно чтобы не было к нему доступа никакого кроме ssh... ну и ping может быть).<br><br>При дефолтовых настройках (без правил файервола, точнее с одним правилом - https://opennet.ru/openforum/vsluhforumID1/87569.html#6 Mon, 14 Dec 2009 06:48:29 GMT Короче, умников полно...<br>Спасибо тому кто поделу высказывался...<br>Обчныйм ПППоЕ раздать можно, но мне предварительно нужно было завернуть на проксик.<br>pf не признаю в принципе, даж не пробовал - не знаю.<br>А не цеплялось у меня потому, что tun появляется после того как прописываются правила из /etc/firewall прицепились...<br>В общем, спасибо, за конструктивные комментарии.<br>А со скальпелем, просьба при себе придерживать свои высказывани, ибо кроме как отвращение, никаких эмоций или, тем более, глубокого осознания сущности проблемы, они не приносят<br> https://opennet.ru/openforum/vsluhforumID1/87569.html#5 Mon, 14 Dec 2009 04:55:23 GMT &gt;&gt;Прошу помощи. С радостью приму советы по поводу того, что я может <br>&gt;&gt;быть вообще не так делаю <br>&gt;<br>&gt;ковыряешься в пациенте скальпелем, толком не зная, что такое скальпель, не говоря <br>&gt;уже об анатомии <br><br>дык очередная жертва хауту ...<br> https://opennet.ru/openforum/vsluhforumID1/87569.html#4 Sun, 13 Dec 2009 23:12:56 GMT &gt;а нафига пф?можнл ppp.conf направитьнормально чтобы поднимал pppoe и все, на 6.4 <br>&gt;так и делал и совместо с ипфв работало. <br><br>Я предполагал, что PPPoE уже давно настроено и поднимается :) Выбор файрволла в принципе дело сугубо личное конечно...<br> https://opennet.ru/openforum/vsluhforumID1/87569.html#3 Sun, 13 Dec 2009 19:09:56 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;pass in on $ext_if proto tcp from any to ($ext_if) <br>&gt;port 22 keep state <br>&gt;pass in on $ext_if proto tcp from &lt;allow_rdp&gt; to ($ext_if) port 80 keep state<br>&gt;pass out on $ext_if proto { tcp, udp } all flags <br>&gt;S/SA keep state <br>&gt;<br>&gt;Файрволл вполне работоспособный с натом нет проблем. Конфигурация самого pf весьма прозрачна, <br>&gt;фильтр удобен и быстр. Обратит е внимание, что в правилах внешний <br>&gt;ИП не фигурирует. <br><br>а нафига пф?можнл ppp.conf направитьнормально чтобы поднимал pppoe и все, на 6.4 так и делал и совместо с ипфв работало.<br><br> https://opennet.ru/openforum/vsluhforumID1/87569.html#2 Sun, 13 Dec 2009 11:43:22 GMT &gt;Прошу помощи. С радостью приму советы по поводу того, что я может <br>&gt;быть вообще не так делаю <br><br>Компилируйте новое ядро с поддержкой pf<br><br>device pf<br>device pflog<br>device pfsync<br><br>Содержимое /etc/pf.conf<br><br>ext_if="tun0"<br>int_if="rl1"<br><br>ext_addr="1.2.3.87"<br>int_addr="192.168.5.254"<br><br>table &lt;allow_ip&gt; {192.168.5.1, 192.168.5.2, 192.168.5.5, 192.168.5.201}<br>table &lt;allow_rdp&gt; {182.12.48.208/28, 182.102.37.208/28}<br><br>scrub in all<br><br>nat on $ext_if from $int_if:network to any -&gt; ($ext_if)<br><br>rdr on $ext_if proto tcp from &lt;allow_rdp&gt; to ($ext_if) port 3389 -&gt; 192.168.5.1 port 3389<br><br>block all<br><br>pass on {lo, gif0} all<br>pass on $int_if inet proto icmp all<br><br>pass on $int_if proto {tcp, udp} from &lt;allow_ip&gt; to any<br>pass on $int_if proto {tcp, udp} from any to &lt;allow_ip&gt;<br><br>pass on $ext_if proto {tcp, udp} from &lt;allow_ip&gt; to any<br>pass on $ext_if proto {tcp, udp} from any to &lt;allow_ip&gt;<br><br>pass on $ext_if inet proto icmp icmp-type {0, 3, 4, 8, 11, 12}<br>pass on $ext_if proto {esp, ipencap, ah} all<br> https://opennet.ru/openforum/vsluhforumID1/87569.html#1 Sat, 12 Dec 2009 12:22:26 GMT &gt;Прошу помощи. С радостью приму советы по поводу того, что я может <br>&gt;быть вообще не так делаю <br><br>ковыряешься в пациенте скальпелем, толком не зная, что такое скальпель, не говоря уже об анатомии<br>