https://opennet.ru/openforum/vsluhforumID1/82812.html Уважаемые здравствуйте.<br><br>Есть задача:<br>клиентская машина должна по udp заходить 87 порт на удаленный сервер (ФПСУ-IP/клиент от http://www.amicon.ru/)<br><br>Казалось бы что может быть проще<br><br>add 50 divert natd all from 192.168.0.2 to 77.108.111.100 # это удаленный сервер<br>...<br>add 400 pass log udp from any to 77.108.111.100 via rl0 keep-state<br>...<br><br>От локальной машины udp-Пакеты через локальный интерфейс приходят на freebsd7-машину, уходят через внешний интерфес на удаленный сервер, приходит ответ на внешний интерфес, а вот до локальной машины ответ не доходит<br><br>Что я делаю не правильно ? Помогите пожалуйста.<br><br>вот правила для ipfw:<br>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~<br># loopback<br>add 10 pass all from any to any via lo0<br>add 10 deny all from any to 127.0.0.0/8<br>add 10 deny ip from 127.0.0.0/8 to any<br>#<br># LAN interfaces<br>#<br>add 20 pass ip from any to any via fxp0 # local net interface<br>#<br># Only for WLAN via rl0 rules below<br>add 30 deny log ip from any to any not via rl0 # rl0 - wan interface<br>#<br># https://opennet.ru/openforum/vsluhforumID1/82812.html#3 Mon, 29 Dec 2008 20:08:42 GMT &gt;... <br><br>Ну, за полтора месяца думаю автор и сам решил проблему - но вдруг кому-то<br>пригодится:<br><br>во-первых:<br>&gt;add 400 pass log udp from any to 77.108.111.100 via rl0 keep-state <br><br>тут keep-state не срабатывает для фрагментированных пакетов:<br>второй и последующие фрагменты не содержат заголовка, позволяющего<br>проверить их на соответствие динамическим правилам.<br>Поэтому keep-state тут убрать...<br><br>во-вторых:<br>&gt;add 200 pass all from any to any in frag<br><br>тут у тебя эти (да и другие, наверно) фрагменты акцептятся, а что с ними кернелу делать?<br>их бы в натд отправить надобно; да и вообще - коли ты фрагментированные<br>пакеты решил пропускать (а вообще - не надо бы), чего и огород городить?<br>по крайней пере перенеси его после ната что-ли..<br><br>..а еще полезно с tcpdump подружиться - без него ipfw в более-менее нетривиальных случаях не отладишь...<br> https://opennet.ru/openforum/vsluhforumID1/82812.html#2 Wed, 12 Nov 2008 11:52:40 GMT Попробуй после последнего divert natd прописать:<br>add 60 divert natd all from any to me in via rl0<br><br> https://opennet.ru/openforum/vsluhforumID1/82812.html#1 Wed, 12 Nov 2008 10:01:54 GMT &gt;Уважаемые здравствуйте. <br>&gt;<br>&gt;Есть задача: <br>&gt;клиентская машина должна по udp заходить 87 порт на удаленный сервер (ФПСУ-IP/клиент <br>&gt;от http://www.amicon.ru/) <br>&gt;add 50 divert natd all from 192.168.0.2 to 77.108.111.100 # это <br>&gt;удаленный сервер <br>&gt;... <br>&gt;add 400 pass log udp from any to 77.108.111.100 via rl0 keep-state <br>&gt;Что я делаю не правильно ? Помогите пожалуйста. <br><br> Добавить к каждому правилу deny log logamount 1000 и читать /var/log/security<br>естественно при net.inet.ip.fw.verbose=1<br>