>> Покажите ipfw sh
> 65530 485 69019 deny log logamount 200 ip from any to any
> 65535 895701 64933042 deny ip from any to any вас не смущает наличие пакетов одновременно в правилах 65530 и 65535?
Посмотрите какие именно пакеты попали в deny и поймите почему.
Впишите необходимые правила для пропуска этих пакетов (если они вам нужны)
Но вообще..мда...
что значит "не хочет отправлять" ?
Кто не хочет отправлять,клиент через ваш шлюз или сам шлюз?
правило
1810 add allow tcp from any to any 25 via igb1
это попытка доступа из серой сети к серверу в интернет минуя нат. с серым соответственно адресом. никогда так не заработает :)
правила
3150 add allow udp from 192.168.0.0/24 to 8.8.8.8 53 out via igb1 keep-state
3300 add allow udp from 8.8.8.8 53 to 192.168.0.0/24 in via igb1 established
3400 add allow udp from 192.168.0.0/24 to any 53 out via igb1
жгут неподеццки :)
особенно 3300 :)))
опять отчаянная попытка отправить пакет из серой сети с серым адресом к ДНС серверу в инете...
все что вы отправляете в интернет- должно быть с вашим БЕЛЫМ адресом..тоесть пройти через НАТ....
правила
1850 add deny tcp from 192.168.0.0/24 to any 80 out via igb1 #только через proxy
1860 add deny tcp from 192.168.0.0/24 to any 443 out via igb1
Это глупость.
а если клиент пойдет на 8080 порт?
deny tcp from 192.168.0.0/24 to any 80 должно быть на внутреннем порту!
делается это так:
правило пропуска на ваш прокси (все что не идет по спец портам- идет на прокси)
правило запрещающее все что захотело идти мимо прокси (все что не прошло на прокси и не прошло по спецпортам- запрещено).
причем эти правила не на ИСХОДЯЩЕМ в инет порту, а на ВХОДЯЩЕМ на внутреннем.
файрвол должен отрубать пакеты как можно раньше (на входе) а не обрабатывать пакеты и когда они уже выходят из него- спохватываться и отрубать...
правило
03910 299897 37429734 allow ip from any to 192.168.0.0/24 in via igb0
редкостный бред, если только в вашей сети нет белых адресов и серых сетей больше одной...
from any ... in via igb0 - это вы белые адреса с ВНУТРЕННЕЙ сети на внутренний интерфейс пропускаете?? :)
to 192.168.0.0/24 - вы понимаете вообще что тут никогда ничего кроме вашего серого адреса шлюза не будет в принципе? in via igb0 - это входящие ИЗ СЕТИ на вашу внутреннюю карточку.
тут дестинейшен никакой кроме вашего внутреннего адреса шлюза и белых инет адресов для натящихся пакетиков не будет в принципе. если будет - значит либо вас ломают, либо вы что-то делаете неправильно.
В общем возьмите готовый конфиг, тут на форуме их дофига примеров было.
Если Вы, тем не менее, не воспримете мой совет, вам следует сделать следующее:
1) не экспериментируйте на рабочем шлюзе.
2) создайте три виртуальных машины на каком нибудь офисном компьютере:
виртуальная машина "интернет"
виртуальная машина "шлюз в интернет"
виртуальная машина "внутренняя сеть"
3) воспроизведите настройку файрвола на виртуальной машине "шлюз в интернет"
4) на ВСЕ правила файрвола повесьте логирование.
5) пытайтесь установить соединение с "внутренняя сеть" к "интернет", и смотрите как проходят пакеты через файрвол.
6) через некоторое время вы поймете как работают ip-сети :)
И сможете сами создать пример конфига ipwf, которых тут на форуме уже дофига работающих ...