Исходное сообщение
"Freebsd84 ipfw+squid - Проблема с натом с почтой" Отправлено Square, 25-Июн-15 15:27
>> Покажите ipfw sh > 65530     485      69019 deny log logamount 200 ip from any to any > 65535  895701   64933042 deny ip from any to any вас не смущает наличие пакетов одновременно в правилах 65530 и 65535? Посмотрите какие именно пакеты попали в deny и поймите почему. Впишите необходимые правила для пропуска этих пакетов (если они вам нужны) Но вообще..мда... что значит "не хочет отправлять" ? Кто не хочет отправлять,клиент через ваш шлюз или сам шлюз? правило 1810    add    allow tcp from any to any 25 via igb1 это попытка доступа из серой сети к серверу в интернет минуя нат. с серым соответственно адресом. никогда так не заработает :) правила 3150    add allow udp from 192.168.0.0/24 to 8.8.8.8 53 out via igb1 keep-state 3300    add allow udp from 8.8.8.8 53 to 192.168.0.0/24 in via igb1 established 3400    add allow udp from 192.168.0.0/24 to any 53 out via igb1 жгут неподеццки :) особенно 3300 :))) опять отчаянная попытка отправить пакет  из серой сети с серым адресом к ДНС серверу в инете... все что вы отправляете в интернет- должно быть с вашим БЕЛЫМ адресом..тоесть пройти через НАТ.... правила 1850    add deny tcp from 192.168.0.0/24 to any 80 out via igb1     #только через proxy 1860    add deny tcp from 192.168.0.0/24 to any 443 out via igb1 Это глупость. а если клиент пойдет на 8080 порт? deny tcp from 192.168.0.0/24 to any 80 должно быть на внутреннем порту! делается это так: правило пропуска на ваш прокси (все что не идет по спец портам- идет на прокси) правило запрещающее все что захотело идти мимо прокси (все что не прошло на прокси и не прошло по спецпортам- запрещено). причем эти правила не на ИСХОДЯЩЕМ в инет порту, а на ВХОДЯЩЕМ на внутреннем. файрвол должен отрубать пакеты как можно раньше (на входе) а не обрабатывать пакеты и когда они уже выходят из него- спохватываться и отрубать... правило 03910  299897   37429734 allow ip from any to 192.168.0.0/24 in via igb0 редкостный бред, если только в вашей сети нет белых адресов и серых сетей больше одной... from any ... in via igb0 - это вы белые адреса с ВНУТРЕННЕЙ сети на внутренний интерфейс пропускаете?? :) to 192.168.0.0/24 - вы понимаете вообще что тут никогда ничего кроме вашего серого адреса шлюза не будет в принципе? in via igb0 - это входящие ИЗ СЕТИ на вашу внутреннюю карточку. тут дестинейшен никакой кроме вашего внутреннего адреса шлюза и белых инет адресов для натящихся пакетиков не будет в принципе. если будет - значит либо вас ломают, либо вы что-то делаете неправильно. В общем возьмите готовый конфиг, тут на форуме их дофига примеров было. Если Вы, тем не менее, не воспримете мой совет, вам следует сделать следующее: 1) не экспериментируйте на рабочем шлюзе. 2) создайте три виртуальных машины на каком нибудь офисном компьютере: виртуальная машина "интернет" виртуальная машина "шлюз в интернет" виртуальная машина "внутренняя сеть" 3) воспроизведите настройку файрвола на виртуальной машине "шлюз в интернет" 4) на ВСЕ правила файрвола повесьте логирование. 5) пытайтесь установить соединение с "внутренняя сеть" к "интернет", и смотрите как проходят пакеты через файрвол. 6) через некоторое время вы поймете как работают ip-сети  :) И сможете сами создать пример конфига ipwf, которых тут на форуме уже дофига работающих ...