мне нужно не много, мне нужно разрешить все только админу и разрешить все только для flynet'a, открыть для всех 80 и 443 порт, разрешить интернет через нат пользователю локалки 192.168.0.4.
ниже конфиг.
Понимаю что ничего сложного, но нижний конфиг не работает.
может быть кто-нибудь поделиться конфигом на redmoon@fly-net.ruя уже голову сломал, помогите.
#!/bin/sh
ipfw='/sbin/ipfw -q'
ournet='192.168.0.0/24'
admin='192.168.0.2/32'
flynet='172.23.1.99/32'
ifout='rl0'
ifuser='rl1'
${ipfw} flush
${ipfw} add 1 pass all from any to any via lo0
${ipfw} add 2 deny all from any to 127.0.0.0/8
${ipfw} add 3 deny ip from 127.0.0.0/8 to any${ipfw} add 40 pass all from ${flynet} to any
${ipfw} add 50 pass all from any to ${flynet}
${ipfw} add 80 pass udp from any to me domain keep-state
${ipfw} add 90 pass udp from me to any domain keep-state
${ipfw} add 91 pass tcp from any to any http,https keep-state
${ipfw} add 4599 divert natd ip from any to any out via rl0
${ipfw} add 4603 pass all from ${admin} to any
${ipfw} add 4604 pass all from any to ${admin}
${ipfw} add 65534 deny all from ${ournet} to any
заранее спасибо.
похоже не такая уж "классика" раз мало кто знает. сам с этим столкнулся.4599 - дивертить надо не только исходящий, но и входящий трафик
проблема: natd+динамические правила. создается дин правило для соед тачки из лок сети (src-addr из лвс) с неким сайтом в интырнете. но ответные пакеты приходят с dst-адресом шлюза и соответственно под созданное правило не подходят!
единственный вариант что я нашел в сети (пример):
divert natd all from any to me in via rl0
check-stateskipto 60000 tcp from any to any out via rl0 setup keep-state #возможно setup надо убрать
deny all from any to any via rl060000 divert natd all from any to any out via rl0
allow all from any to any via rl0есть несколько непонятных мест, но общий смысл ясен. примерно в таком виде динамич правила у меня сработали.