Доброго дня всем!!! К сожалению, не было возможности заниматься фрей почти все это время.
Что получилось на днях - почитал вышеуказанные ссылки - спасибо огромное, что имеем -
#!/bin/sh
/sbin/ipfw/ -q -f flush
/sbin/ipfw add allow all from any to any via lo
/sbin/ipfw add allow ip from 192.168.0.0/24 to 192.168.0.0/24 via rl0
/sbin/ipfw add divert natd ip from 192.168.0.0/24 to any out via rl1
/sbin/ipfw add divert natd ip from any to 192.168.1.2 in via rl1
/sbin/ipfw add allow ip from 192.168.1.2 to any out via rl1
/sbin/ipfw add allow ip from any to 192.168.1.2 in via rl1
/sbin/ipfw add allow udp from 192.168.0.0/24 to any 53 in via rl0
/sbin/ipfw add allow udp from 192.168.0.0/24 to any 53 out via rl1
/sbin/ipfw add allow udp from any 53 to 192.168.0.0/24 in via rl1
/sbin/ipfw add allow udp from any 53 to 192.168.0.0/24 out via rl0
/sbin/ipfw add allow tcp from 192.168.0.0/24 to any 80,53 in via rl0
/sbin/ipfw add allow tcp from 192.168.0.0/24 to any 80,53 out via rl1
/sbin/ipfw add allow tcp from any 80,53 to 192.168.0.0/24 in via rl1
/sbin/ipfw add allow tcp from any 80,53 to 192.168.0.0/24 out via rl0
# для начала здесь и ниже разрешил только dns и http ну и ниже - почту
или, немного сократив, насколько я это понял -
#!/bin/sh
/sbin/ipfw/ -q -f flush
/sbin/ipfw add 100 allow all from any to any via lo
/sbin/ipfw add 200 allow ip from any to any via rl0
/sbin/ipfw add 300 divert natd ip from 192.168.0.0/24 to any out via rl1
/sbin/ipfw add 350 divert natd ip from any to 192.168.1.2 in via rl1
/sbin/ipfw add 400 allow ip from 192.168.1.2 to any out via rl1
/sbin/ipfw add 450 allow udp from any to 192.168.1.2 in via rl1
/sbin/ipfw add 500 allow udp from 192.168.0.0./24 to any 53 out via rl1
/sbin/ipfw add 550 allow udp from any 53 to 192.168.0.0/24 in via rl1
/sbin/ipfw add 600 allow tcp from 192.168.0.0/24 to any 80,53,25,110 out via rl1
/sbin/ipfw add 650 allow tcp from any 80,53,25,110 to 192.168.0.0/24 in via rl1
/sbin/ipfw add 700 allow icmp from any to any
Все работает, наконец-то. Большая просьба - оцените, кому не трудно, конфиг. С точки зрения безопасности, в первую очередь. Правильно ли, если нет, то куда примерно копать.
Меня как-то настораживают правила типа 550, 650 - вроде выглядит как открытие портов снаружи вовнутрь, а не разрешение прохождения ответных пакетов.
И как в такой схеме будет выглядеть проброс порта, - 4899, пусть, извне к любой машине из внутренней сети, пусть 192.168.0.3
Заранее благодарен, с нетерпением жду ответов.