FreeBSD (domU) + pf + nat - Компьютерный форум OSzone.net

Имеется сервер с Debian Squeeze на котором установлен XEN.
Внутри стоит FreeBSD 9.0 один интерфейс смотрит в мир (проброшен как bridge) второй во внутрь Xen-a. В фря настроен pf в качестве NAT и ipfw, оба скампелированны внутрь ядра...
За основу взят стандартный конфиг для XEN

Код:

device          pf

device          pflog

device          pfsync



options         ALTQ

options         ALTQ_CBQ

options         ALTQ_RED

options         ALTQ_RIO

options         ALTQ_HFSC

options         ALTQ_PRIQ

options         ALTQ_NOPCC



options         IPFIREWALL

options         IPFIREWALL_VERBOSE

options         IPFIREWALL_VERBOSE_LIMIT=5

options         IPFIREWALL_FORWARD



options         SCHED_ULE               # ULE scheduler

options         PREEMPTION              # Enable kernel thread preemption

#options        SCHED_4BSD



options         INET                    # InterNETworking



# Я отключил только эти 3 модуля

#options        INET6                   # IPv6 communications protocols

#options        WITNESS                 # Enable checks to detect deadlocks and cycles

#options        WITNESS_SKIPSPIN        # Don't run witness on spinlocks for speed

пока в качестве проверки все правила в pf отключены и есть только правило нат

Код:

nat on $внешний интерфейс from ip_внутренней_сети to any -> ($Внешний_интерфейс)

, и ipfw прописано пропускать всё

Код:

00100 48183 9002508 allow ip from any to any via xn0  

00200  1402  120130 allow ip from any to any via xn1

С самой фря все пингуется и подключается, но вот что-то непонятное происходит с трафиком с других машин для которых фря стоит как gateway: пинги проходят без проблем, а вот при попытке подклюиться куда-то или даже резольвить имя пакеты не возвращаются... может я что-то не так делаю, я даже не знаю у меня в двух местах стоит такая же фря (правда на физическом оборудовании и с точно такими же настройками NAT и всё работает).

в качестве эксперемента (предположил что pf не позволяет возвртившимся пакетам проходить во внуторь) сделал простой конфиг для NAT но не помогло...

Код:

icmp_types="{ echoreq unreach }"      

set block-policy return  

set skip on lo0  

set skip on $int_if   

scrub in all    



nat on $ext_if from $lan to any -> ($ext_if)      



pass out on $ext_if from $ext_if to any keep state  

pass out on $ext_if from $lan to any keep state    

pass inet proto icmp all icmp-type $icmp_types

Xen настроен в качестве bridge, сам мост настроен с помощью bridge-utils из Дебиана:

Код:

(vif-script 'vif-bridge netdev=br0')

пробЫвал так же во всевозможных комбинациях (думал что это из-за моста)

Код:

(network-script network-dummy)  

(network-script network-bridge)  

(vif-script vif-bridge)  

(vif-script 'vif-bridge netdev=br0')

все таблицы iptables в dom0 чистые

что я забыл/упустил?
что ещё может блокировать возвращающиеся пакеты?