>Есть локальная сеть за натом (freebsd 4.9;natd;ipfw) и есть клиенты внешние.
>Необходимо разрешить некоторым локальным пользователям ходить только на внешние ip адреса клиентов,
>в инет же им ходить запрещено.
>
>делаю так:
>oif - внешний интерфейс
>iif - внутренний
>
>....
>setup_loopback
>
> # Stop spoofing
> ${fwcmd} add deny log
>all from ${локальная сеть} to any in via ${oif}
> ${fwcmd} add deny log
>all from ${внешняя сеть} to any in via ${iif}
>
> case ${natd_enable} in
> [Yy][Ee][Ss])
>
>if [ -n "${natd_interface}" ]; then
>
> ${fwcmd} add divert natd all from ${локальная сеть} to any via ${oif}
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
А обратно, из внешнего мира, как пакеты будут возвращаться в NAT?${fwcmd} add divert natd all from any to any via ${oif}
>
>fi
>
>;;
> esac
>
> # Allow packets for client1
> ${fwcmd} add allow all from ${выборочные локальные адреса} to ipclient1 out via ${oif}
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Не будет на выходе ${oif} пакетов из ${выборочные локальные адреса},
если включен NAT .
> ${fwcmd} add allow all from ipclient1 to me in via ${oif}
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Не будет в этом месте правил пакетов в me, если правильно включен divert на NAT .
Список me и ${выборочные локальные адреса} не совпадают.
Для ipclient2 , что ниже, аналогично.
Читайте , man ipfw и примеры на этом сайте.
> # Allow packets for
>client2
> ${fwcmd} add allow all
>from ${выборочные локальные адреса} to ipclient2 out via ${oif}
> ${fwcmd} add allow all
>from ipclient2 to me in via ${oif}
>...
>
> # Allow anything outbound
>from this net.
> ${fwcmd} add allow all
>from ${внешняя сеть} to any out via ${oif}
>
> # Deny anything outbound
>from other nets.
> ${fwcmd} add deny log
>all from any to any out via ${oif}
>
> # Allow anything on
>the internal net
> ${fwcmd} add allow all
>from any to any via ${iif}
>
> # Allow TCP through
>if setup succeeded.
> ${fwcmd} add allow tcp
>from any to any established
>и т.д.
>
>при такой конфигурации локальных пользователей все равно не пускает к клиентам;
>
>подскажите, где косяк?