>[оверквотинг удален]
>natd работает. До этого момента у меня был настроен инет для локалки,
>но решил причесать все правила, чтобы всё лишнее запрещалось, а в
>предыдущем случае в конце правило было allow from any to any.
>
>
>ipfw show
>00050 834 27304 allow ip from me to
>10.0.0.1 via nfe0 out
>00055 11729 1024957 allow ip from 10.0.0.1 to me via nfe0 in
>Это реально все правила, которые применяются на фаерволе? Если да, то они очень и очень странны. Не понятно, откуда они берутся.
>[оверквотинг удален]
>via wlan0
>00355 0
>0 allow udp from any to me dst-port 53,123,31194 in via
>wlan0
>00360 0
>0 deny tcp from any to me not dst-port 53,80,22222 in
>via tun0
>00370 0
>0 deny udp from any to me not dst-port 123 in
>via tun0
Сначала Вы запрещаете трафик по основным портам, затем разрешаете - правила ipfw применяются в порядке следования. Посмотрите внимательно man ipfw
>
>Дал доступ ко мне только к разрешённым ресурсам.
>00400 0
>0 deny ip from table(3) to me in via ng0
>
А точнее - запретили прохождение пакетов.
>В таблице 3 содержатся адреса локалок, чтобы серые адреса извне не лезли.
>
>00500 10 810 allow ip
>from me to any keep-state
>
>Мне можно всё.
Разрешаете прохождение пакетов с адресов локальных интерфейсов самого шлюза.
>00600 0
>0 fwd 127.0.0.1,3128 ip from table(1) to not me dst-port 80,8080
>via ng0 out
Выполняется "форвардинг" пакетов адресованных любым адресам, кроме адресов локальных интерфесов шлюза.
>
>Нужных клиентов заворачиваем на прозрачный прокси.
>00650 0
>0 divert 8668 ip from table(2) to not me via ng0
>out
Выполняется трансляция адресов.
>
>Неудачная попытка раздачи интернета
>50000 139 13004 deny log logamount 100 ip
>from any to any
>
>Остальное запрещаем и для отладки пишем в лог.
>
>Так вот в логе при попытке вылезти из локалки в инет такие
>сообщения:
>ipfw: 50000 Deny TCP 172.16.254.10:2992 91.207.59.36:80 in via rl0
Соответственно, пакеты от хоста 172.16.254.10 не соответствуют ни одному правилу применяющемуся до 50000 и согласно ему - блокируются.
>
>Помогите пожалста разобраться
Думаю, после того, как Вы немного отвлечетесь (лучше лечь спать), Вы разберетесь с правилами фаервола. Так сказать, на свежую голову :) Не вижу смысла усложнять правила используя таблицы. Возьмите для шаблона правила из /etc/rc.firewall, firewall type SIMPLE.