https://slinkov.ru/openforum/vsluhforumID1/95872.html Ядро собрано <br>options IPFIREWALL<br>options IPFIREWALL_VERBOSE<br>options IPFIREWALL_VERBOSE_LIMIT=10<br>options IPFIREWALL_DEFAULT_TO_ACCEPT<br>options IPFIREWALL_NAT<br>options LIBALIAS<br>options ROUTETABLES=2<br>options HZ="1000"<br>options DUMMYNET<br><br>/sbin/ipfw nat 1 config log if em0 reset same_ports<br>/sbin/ipfw add 10130 nat 1 ip from any to any via em0<br><br>em0 - внешний интерфейс.<br><br>NAT работает только если указать nat ip from from any to any<br>Однако нужно выпускать лишь определенные адреса, то есть:<br>nat ip from &lt;IP&gt; to any<br>Каков должен быть синтаксис?<br>Пробовал, как где-то видел через table:<br>/sbin/ipfw table 1 add 10.0.0.2<br>/sbin/ipfw add nat 2 ip from table\(1\) to any via em0<br><br>Тоже не работает.<br> https://slinkov.ru/openforum/vsluhforumID1/95872.html#3 Fri, 28 Nov 2014 04:08:19 GMT &gt; можно блокировать пакеты от ip из таблицы до ната...<br><br>можно хотя бы маны почитать для начала ...<br> https://slinkov.ru/openforum/vsluhforumID1/95872.html#2 Wed, 26 Nov 2014 16:07:41 GMT можно блокировать пакеты от ip из таблицы до ната...<br><br> https://slinkov.ru/openforum/vsluhforumID1/95872.html#1 Wed, 26 Nov 2014 14:25:04 GMT &gt; Однако нужно выпускать лишь определенные адреса, то есть: <br>&gt; nat ip from &lt;IP&gt; to any <br><br>Это бред.<br><br>Фильтрация - это фильтрация. Трансляция - это трансляция.<br><br>Если вы не сделаете нат, то исходящий пакет может уйти на внешний интерфейс неоттранслированым. Таким образом <br>- вы генерируете мусор (информационный шум)<br>- раскрываете внутреннюю структуру сети.<br><br>На нат надо заворачивать пакеты обеих направлений - исходящие через внешний интерфейс и входящие по внешнему интерфейсу. Соответственно правил должно быть минимум два. Это не iptables.<br><br><br><br>