[kirimey]

$cmd 010 allow all from any to any via lo0

$cmd 020 deny ip from any to 127.0.0.0/8
$cmd 030 deny ip from 127.0.0.0/8 to any

$cmd 040 allow all from any to any via $internal_if

$cmd 050 fwd 127.0.0.1,3129 tcp from $lannet to any 21,80,443,5190 out via $external_if

$cmd 060 divert natd ip from any to any in via $external_if

$cmd 070 check-state

$cmd 100 $skip udp from 192.168.110.2 to any 53 out via $external_if keep-state

$cmd 110 $skip icmp from any to any out keep-state

$cmd 120 $skip tcp from 192.168.110.3 to any out via $external_if setupe keep-state

$cmd 200 $skip all from $wanip to any out via $external_if setup keep-state

$cmd 210 deny all from 192.168.0.0/16 to any in via $external_if
$cmd 211 deny all from 172.16.0.0/12 to any in via $external_if
$cmd 212 deny all from 10.0.0.0/8 to any in via $external_if
$cmd 212 deny all from 10.0.0.0/8 to any in via $external_if
$cmd 213 deny all from 127.0.0.0/8 to any in via $external_if
$cmd 214 deny all from 0.0.0.0/8 to any in via $external_if
$cmd 215 deny all from 169.254.0.0/16 to any in $external_if
$cmd 216 deny all from 192.0.2.0/24 to any in via $external_if
$cmd 217 deny all from 204.152.64.0/23 to any in via $external_if
$cmd 218 deny all from 224.0.0.0/3 to any in via $external_if

$cmd 220 deny tcp from any to any 113 in via $external_if

$cmd 225 deny tcp from any to any 137 in via $external_if
$cmd 226 deny tcp from any to any 138 in via $external_if
$cmd 227 deny tcp from any to any 139 in via $external_if
$cmd 228 deny tcp from any to any 81 in via $external_if

$cmd 500 allow tcp from any to $wanip 5555 in via $external_if setup limit src-addr 2
$cmd 510 allow tcp from any to $wanip smtp in via $external_if setup keep-state

$cmd 510 allow all from any to any established


$cmd 550 deny log all from any to any

$cmd 570 divert natd ip from any to any out via $external_if

$cmd 580 allow ip from any to any

$cmd 999 deny log all from any to any

не получается отправить вложение

[Telepuzik]

Цитата kirimey:

$cmd 060 divert natd ip from any to any in via $external_if »

Поменяйте на:
$cmd 060 divert natd ip from any to any via $external_if
И пропишите для проверки:
cmd 520 allow tcp from any to 192.168.110.3 smtp out via $internal_if
Telnet-ом из интернета пробовали подключаться к внешнему ip на 25 порт?
И приведите вывод ipfw show с количеством пакетов прошедшим через каждое правило.

[kirimey]

а зачем 060 строчку менять на предлогаемою

у меня же 570 строчка для исходящего ната

я сделал как Вы сказали и все равно нифига

телнетом не коннектится

я не могу прислать вложение, чето не получается

[Telepuzik]

Цитата kirimey:

у меня же 570 строчка для исходящего ната »

До этого правила трафик не доходит т.к. 550 правило блокирует весь трафик. Соетую поставить правило divert такое как я приводил под номером 550 и посмотреть будет работать или нет.

[kirimey]

060 строчку закоментировал
550 тоже

570 сделал такую как Вы и сказали

и все равно
нифига

теперрь када так сделал телнетом сверху конекчусь и нифига
а вот ipfw show говорит что 510 правило какие то пакеты пропускает, но ниче не получается

[admin666]

Sorry, что не совсем в тему.
Посоветуйте пожалуйста хорошую статью или книгу по ipfw такую чтобы с примерами, коментами, и тд. ну для ламера короче).... Ищу в инете находится либо не подробно, либо уж очень запутано((

[kirimey]

http://www.freebsd.org/cgi/man.cgi?q...SE&format=html

[admin666]

пасиба

Цитата kirimey:

http://www.freebsd.org/cgi/man.cgi?q...SE&format=html »

хорошо, а по русски есть что нибудь?

[Telepuzik]

Цитата kirimey:

060 строчку закоментировал 550 тоже 570 сделал такую как Вы и сказали и все равно нифига теперрь када так сделал телнетом сверху конекчусь и нифига а вот ipfw show говорит что 510 правило какие то пакеты пропускает, но ниче не получается »

Поставьте 570 правило вместо 60 и перезагрузите машину. Попробуйте приконектиться telnet-ом посмотри tcpdump -ом приходят ли пакеты на внешний интерфейс. И выложите все таки ipfw show с количеством прошедших пакетов.

admin666,
Вот статья про настройку ipfw.

[dmitryst]

Цитата kirimey:

$cmd 060 divert natd ip from any to any in via $external_if »

замените на
$cmd 060 divert 8668 ip from any to any in via $external_if
если нат не работает

Цитата kirimey:

а скажите правило ... должно быть до входящего ната или после »

нат стоит после всего - иначе он не узнает, что пакет из вашей внутренней сети (а вообще, логичнее разбить правила на 2 части - сначала на исходящие- нат последний, а потом на входящие - тут нат первым должен быть. В общем, как в хендбуке )