[решено] ipfw+nat - Компьютерный форум OSzone.net

Всем доброго дня.
Имеется FreeBSD 9.1. Ядро скомпилировано с параметрами

Код:

options IPFIREWALL

options IPFIREWALL_VERBOSE

options IPFIREWALL_VERBOSE_LIMIT=10

options IPFIREWALL_FORWARD

options IPFIREWALL_NAT

options LIBALIAS

options DUMMYNET

options IPFIREWALL_DEFAULT_TO_ACCEPT

В rc.conf прописано следующее:
gateway_enable="YES"
firewall_enable="YES"
firewall_type="/etc/ipfwnat"

Внешний интерфейс - em0, 195.*.*.*
Внутренний интерфейс - em1, 10.0.0.1

содержимое ipfwnat:

Код:

#запрещающие правила

add 1000 deny ip from any to 10.0.0.0/8 in via em0

add deny ip from any to 172.16.0.0/12 in via em0

add deny ip from any to 192.168.0.0/16 in via em0

add deny ip from any to 0.0.0.0/8 in via em0

add deny ip from any to 169.254.0.0/16  in via em0

add deny ip from any to 240.0.0.0/4 in via em0

add deny icmp from any to any frag

add deny log logamount 10 icmp from any to 255.255.255.255 in via em0

add deny log logamount 10 icmp from any to 255.255.255.255 out via em0



#разрешающие правила

add 30000 allow tcp from any to any via em1

add allow tcp from any to any established

add allow ip from me to any out via em0

add allow udp from any 53 to any in via em0

add allow icmp from any to any icmp_types 0,8,11



#собственно, NAT

nat 1 config log if em0 reset same_ports deny_in

add nat 1 ip from any to any via em0



#запрещаем все остальное

add 65000 deny from any to any in via em0

Проблема вот в чем: при таком раскладе не работает нат, но работают правила файрвола. Если перенести строчки с натом в начало конфига - то начинает работать нат, и НЕ работает файрволл. Например:
Есть машина с адресом 10.0.0.2, в качестве шлюза указан 10.0.0.1 (локальный интерфейс FreeBSD), DNS - 8.8.8.8.
Если правило НАТ стоит в начале - то все отлично, 10.0.0.2 получает полный доступ в интернет. Но внешний адрес FreeBSD перестает пинговаться.
Если правило НАТ стоит в конце - то:
1) С 10.0.0.2 пингуется любой адрес в интернете по IP
2) С 10.0.0.2 не резолвятся адреса (nslookup ya.ru, google.com и т.д. ничего не дает, также как и пинг по имени)
3) Внешний адрес шлюза FreeBSD начинает пинговаться снаружи согласно правилу
add allow icmp from any to any icmp_types 0,8,11.

Как заставить нормально отрабатывать нат без использования divert, natd и т.д., несмотря на то, что ядро скомпилировано с поддержкой этих функций - хотелось бы разобраться без них.