>> Необходимо в конечном итоге получить 80,25,110 порты на клиентской машине, не через
>> прокси.
> и чем вас не устроил мой вариант?Тем, что, насколько я понимаю, 80, 25, 110 порты (да любые в таком варианте)
на хостах внутренней сети мы не получим в принципе. На самом роутере - да, все будет красиво.
allow ip from any to any via lo
allow ip from any to any via iif
divert 8668 ip from 192.168.0.0/24 to any out via oif
divert 8668 ip from not any to x.x.x.x in via oif
check-state
#после дайверта исходящий с oif пакет имеет x.x.x.x в качестве соурса!
allow udp allow from x.x.x.x to any dst-port 53 keep-state # разрешаем DNS
allow tcp allow from x.x.x.x to any dst-port 25,110,80 keep-state # разрешаем почта+веб
allow icmp from any to any keep-state
deny ip from any to any # дефолтный дроп
Смотрите, правила с keep-state в этом варианте стоят после нат и относятся только к собственно роутеру (x.x.x.x или me, как угодно), поэтому исходящий пакет с внутреннего хоста то пройдет (хоть и в таблицу состояний не попадет), но входящий - нет, поскольку динамическое правило по сути - не для него.
В этом случае, я так думаю, схема нужна примерно такая -
add 100 allow ip from any to any via lo
add 200 allow ip from any to any via iif
add 300 natd ip from any to any in via oif
add 400 check-state
add 500 skipto 1000 tcp from any to any 80,25,110 out via oif keep-state
add 600 deny ip from any to any
add 1000 natd ip from any to any out via oif
add 1100 allow ip from any to any via oif
#и дефолтный дроп
На практике сегодня не успел проверить - на резервном канале инет отключили...
Но, в теории - должно работать. Во всяком случае, в man_ipfw обнаружил именно это.
