» Общие вопросы по FreeBSD

ребята не могу разобраться с маршрутизацией. в общем все та же машина с тремя сетевыми картами. есть два маршрута bw1 и bw2, которые должны идти через карту _1 а вэб трафик через карту_2. вот конфиг из /etc/rc.conf:

Код: defaultrouter="1.1.1.2" <- gateway для карты_1
static_routes="bw1 bw2 web"
route_bw1="4.4.4.4/24 1.1.1.1" <- карта_1
route_bw2="5.5.5.5/28 1.1.1.1" <- карта_1
route_web="0.0.0.0/0 2.2.2.1" <- карта_2
gateway_enable="YES"                     # enable gateway
hostname="gate.ingo"
ifconfig_rl0="inet 192.168.0.1 netmask 255.255.255.0"            # локальный интерфейс
ifconfig_sk0="inet 1.1.1.1     netmask 255.255.255.252"         # карта_1
ifconfig_sk1="inet 2.2.2.1     netmask 255.255.255.252"         # карта_2

gryu
#ldconfig -r | grep libcrypto

и сравниваете то, что есть у вас в системе и что просит установщик. Потом просто копию существующей библиотеки, только с цифрой после .so нужной установщику. Способ, конечно, кривоват, но меня выручал не единожды

dekstero4eg
библиотека, на которую ругается, в системе существует.
Как я подозреваю, версия более новая и установщик паккаджа не признаёт её.
Вариант поменять на такую же, но от 7.3, это вариант, но стрёмный.
Хрен его знает на что эта библиотека ещё повлияет.

4kusnik
имхо, в данной ситуации лучше разруливать всё на уровне ipfw, создавая fwd-правила.


Цитата:

есть два маршрута bw1 и bw2, которые должны идти через карту _1 а вэб трафик через карту_2

Цитата:

route_web="0.0.0.0/0 2.2.2.1"

такой вот маршрут пускает весь траф на 2.2.2.1 (что вы подразумеваете под вэб-трафиком, не совсем понятно). При этом ваш шлюз 1.1.1.2 видимо ничего не знает о 2.2.2.1. Поэтому естественно ничего не ходит

Добавлено:
gryu
1) что выводит ldconfig -r | grep libcrypto ?
2) что требует установщик?

dekstero4eg
Не сегодня.
Я снял хард с 8-кой.
Сейчас 7.3 стоит, а на неё коммунигейт ставится нормально.

4kusnik

# HTTP
pass in quick on $lan_iface proto tcp from $lan_net to $lan_ip port http
pass in quick on $inet_iface reply-to ($inet_iface $inet_gw) proto tcp from any to $inet_ip port http
pass in quick on $binet_iface reply-to ($binet_iface $binet_gw) proto tcp from any to $binet_ip port http


Цитата:

route_bw1="4.4.4.4/24 1.1.1.1" <- карта_1
route_bw2="5.5.5.5/28 1.1.1.1" <- карта_1

зачем вот это ? если дефаулт и так смотрит на 1.1.1.1 ?


Цитата:

route_web="0.0.0.0/0 2.2.2.1" <- карта_2

это вообще какой-то бред - ты пытаешься заменить дефаулт на 2.2.2.1

Во втором конфиге строчки
Цитата:

route_bw1="4.4.4.4/24 1.1.1.1"
route_bw2="5.5.5.5/28 1.1.1.1"
route_web="0.0.0.0/0 1.1.1.1"

вообще не нужны - они бессмысленны

Добавлено:
кстати - какая фря стоит ? на 7-ке с sk-драйвером были большие проблемы со стабильностью работы - сетевуха зависала

comrades, снова я
жутко неудобно, здесь как-то посерьезнее вопросы поднимаются, но вдруг кто-то имеет немалый опыт пользования сабжем на десктопе..

к пятнице ОСь ставил уже не глядя в хандбук и прочие маны , при установке включил DHCP, по ходу послеустановочной настройки из пакетов поставил X.org и Gnome, настройки локальной сети подхватились автоматом, сконфигурировал X.org, для root'а и пользователя сделал запуск гнома по-умолчанию.
возникла проблема с мышкой и клавиатурой (не работали), таки исправил, сделал звук.
в пятницу вечером локалка работала на ура - были доступны сайт и форум провайдера, VPN решил оставить на потом.

всплыли пара проблем:
- Boot Manager перестал грузить WinXP, собственно FreeBSD не с первого раза - через 1-2 перезагрузки reset'ом. вспомнил прочитанное, сделал так. нормальный вариант в принципе?

- не работает локальная сеть, сайт/форум прова не пингуются.
[more=ifconfig]# ifconfig
sk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=8000b<RXCSUM,TXCSUM,VLAN_MTU,LINKSTATE>
    ether 00:13:d4:9f:f5:b0
    inet 10.103.46.253 netmask 0xfffffe00 broadcast 10.103.47.255
    media: Ethernet autoselect (100baseTX <full-duplex>)
    status: active
rl0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=8<VLAN_MTU>
    ether 00:19:cb:54:a4:28
    media: Ethernet autoselect
    status: no carrier
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
    options=3<RXCSUM,TXCSUM>
    inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
    inet6 ::1 prefixlen 128
    inet 127.0.0.1 netmask 0xff000000
    nd6 options=3<PERFORMNUD,ACCEPT_RTADV>[/more]
пробовал в GUI:
System/Administration/Network, на вкладке Connection:

Цитата:

- Wired connection (sk0)
This network interface is not configure

жму "Properties", ставлю галочку "Enable this connection", в поле IP адреса в выпадающем меню выбираю "Automatic configuration (DHCP)", жму Ok.
возвращаюсь в предыдущее окно, под нужным интерфейсом на 2-3 секунды появляется строка "Address: dhcp" и снова "This network interface is not configure"
подскажите, пожалуйста, куда копать?

Skif_off


Цитата:

какая фря стоит ? на 7-ке с sk-драйвером были большие проблемы со стабильностью работы - сетевуха зависала

предыдущий пост. Переткните шнурок в rl0, в /etc/rc.conf строчку ifconfig_rl0="DHCP"

dekstero4eg, попробовал, картина та же.
[more=ifconfig]# ifconfig
sk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=8000b<RXCSUM,TXCSUM,VLAN_MTU,LINKSTATE>
    ether 00:13:d4:9f:f5:b0
    inet 10.103.46.253 netmask 0xfffffe00 broadcast 10.103.47.255
    media: Ethernet autoselect (none)
    status: no carrier
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=8<VLAN_MTU>
    ether 00:19:cb:54:a4:28
    inet 10.103.47.206 netmask 0xfffffe00 broadcast 10.103.47.255
    media: Ethernet autoselect (100baseTX <full-duplex>)
    status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
    options=3<RXCSUM,TXCSUM>
    inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
    inet6 ::1 prefixlen 128
    inet 127.0.0.1 netmask 0xff000000
    nd6 options=3<PERFORMNUD,ACCEPT_RTADV>[/more]

рядом с часами вывел значок сети, если жмакнуть по нему, то можно увидеть, что пакеты от меня уходят, при нажатии на кнопку "Configure" вылезает предупреждение:

Цитата:

The interface does not exist
Check that is a correctly typed and that it is correctly supported by your system

понятно что уходят - dhcp все-таки работает.

кажется, я несколько погорячился, потратив 3-4 дня на весьма дружелюбную Ubuntu 10.04 и замахнувшись на FreeBSD

моя проблема скорее связана с ОС и ее поддержкой железа или дело в руках?
вероятно, попробую завтра поставить заново..

да не принципиально - ман-ы главное читать вразумительно: что под линухом, что под фрей, что под виндой

Цитата:

ман-ы главное читать вразумительно

ничего не нашел..

Skif_off

Цитата:

кажется, я несколько погорячился, потратив 3-4 дня на весьма дружелюбную Ubuntu 10.04 и замахнувшись на FreeBSD

а зачем вам вообще FreeBSD в качестве настольной системы? Есть PC-BSD, есть Убунты эти ваши в конце концов. Граблей с домашней фряхой вы не оберётесь, уж поверьте, сам страдал такой ерундой какое-то время, потом просто понял, что смысла в держании фряхи как десткопа нет ну ни какого.


Цитата:

моя проблема скорее связана с ОС и ее поддержкой железа или дело в руках?

проблема в голове. Обчитавшись интернетов и постов красноглазых линуксоидов, все прям хотят на домашний компутер себе что-нить необычно-юниксовое. При этом абсолютно не понимая - а собственно зачем?!?! Чтобы слушать музыку, сидеть на быдлоконтактике, играть в КС и смотреть видяшки??? Для этого и выдумана ОС под названием Windows XP или 7. На край - дружелюбные дистрибутивы Linux, это если жалко 3 т.р. за лицензию винды, а разводить пирацтво не позволяет религия. Извиняюсь, если обидел чем

хороший путь ознакомиться с системой - я в свое время тоже так же работал. Недельку помучался и снес - поставил федору.

фря на десктопе не очень удобная вещь. А вот на сервере как раз наоборот.

dekstero4eg

Цитата:

а зачем вам вообще FreeBSD в качестве настольной системы?

[more]тупо нравится эта система, понравилась года 3-4 назад, когда ради любопытства поюзал Frenzy 1.0.
и люди ставят, читал..

в пятницу у меня все работало так, как хотел, оставалось настроить VPN, добрать нужных пакетов и пересобрать ядро.

в PC-BSD мне не нравится инсталлятор, KDE 4.х и там какие-то нюансы в использовании портов FreeBSD были.

среди линуксов - куча дистрибов (от генту до убунты - небо и земля), глаза разбегаются.
пробовать все? устанешь, мягко говоря..

зачем так махом под одну гребенку?..

Цитата:

Обчитавшись интернетов и постов красноглазых линуксоидов

на самом деле сравнительно немного - эту тему, это, это, немного здесь и здесь.
убедила попробовать статья FreeBSD как настольная система, все остальное - только решение конкретных проблем.


Цитата:

сидеть на быдлоконтактике

дольше минут 15-20 не сижу, обычно 1-2 раза в неделю заглядываю, больше ни в каких сетях не зареган


Цитата:

играть в КС

два раза в жизни, лет 5-6 назад - минут 15 у чела на десктопе ради любопытства и в комп. клуб как-то вытащил меня чел ~ на час.
ну а музыка и видео на десктопе - у подавляющего большинства..


Цитата:

Извиняюсь, если обидел чем

да никаких проблем, никогда не обижаюсь [/more]

в общем, уловил, покопаюсь в PC-BSD..

Выручайте:
стоит FreeBSD 8 IPFW и SQUID
На клиентских машинах через squid некоторые сайты не хотят открываться. например mail.ru открывается, но не прикрепляеюся файлы (долго-долго грузит и в итоге Ошибка!)
Если на этой же машине отключить проксю, т.е. работать через NAT то все летает!
Дальше интересней: если отключить IPFW (allow all any to any) то все летает и через squid и через nat.
Я грешу на неправильную настройку файлов hosts и resolv.conf и на две строки в IPFW, отвечающие за DNS:
${FwCMD} add 2755 allow udp from any to any 53 via ${LanOut}
${FwCMD} add 2756 allow udp from any 53 to any via ${LanOut}
или же где то пропустил какое то разрешающее правило.

вот еще:
f8# nslookup mail.ru
Server: 88.147.129.15
Address: 88.147.129.15#53

Non-authoritative answer:
Name: mail.ru
Address: 217.69.128.41
Name: mail.ru
Address: 217.69.128.42
Name: mail.ru
Address: 217.69.128.43
Name: mail.ru
Address: 217.69.128.44


Даже вот щас нажал кнопку "Отправить" и ждал 3 минуты и ничего. Отключил IPFW и сразу сообщение добавилось в форум!

IPFW:

#!/bin/sh
FwCMD="/sbin/ipfw -q"
LanOut="em1" #внешний интерфейс
LanIn="em0" #внутренний
IpOut="192.168.33.8" #внешний ИП
IpIn="192.168.0.123" #внутренний
NetMask="24" #маска
NetIn="192.168.0.0" #внутренняя сеть

${FwCMD} flush
${FwCMD} add 5 allow all from any to any
${FwCMD} add 100 check-state
# пропускаем траффик через трансляцию сетевых адресов (NAT)
${FwCMD} add 110 divert natd all from ${NetIn}/${NetMask} to any out via ${LanOu
${FwCMD} add 120 divert natd all from any to ${IpOut} in via ${LanOut}
${FwCMD} add 200 allow ip from any to any via lo0 #разрешаем трафив через петлю
${FwCMD} add 300 deny ip from any to 127.0.0.0/8 # рубит lo0.
${FwCMD} add 400 deny ip from 127.0.0.0/8 to any #.
#запрещают вход и выход по нетбиосу
${FwCMD} add 405 deny tcp from any to any 135-139 via em1
${FwCMD} add 407 deny tcp from any 135-139 to any
#Вводим запреты, рубим частные сeти
${FwCMD} add 500 deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add 600 deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add 800 deny ip from any to 0.0.0.0/8 in via ${LanOut}
#Рубим автоконфигуренную частную сеть
${FwCMD} add 900 deny ip from any to 169.254.0.0/16 in via ${LanOut}
#рубаем мультикастовые рассылки
${FwCMD} add 1000 deny ip from any to 240.0.0.0/4 in via ${LanOut}
#рубим фрагментированные icmp
${FwCMD} add 1100 deny icmp from any to any frag
#рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add 1200 deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add 1300 deny log icmp from any to 255.255.255.255 out via ${LanOut}
#а тут собственно файрволл и начался:
#рубим траффик к частным сетям через внешний интерфейс
#заметтьте - эти правила отличаются от тех что были выше!
${FwCMD} add 1800 deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add 1900 deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add 2000 deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add 2100 deny ip from 0.0.0.0/8 to any out via ${LanOut}
#рубим автоконфигуреную частную сеть
${FwCMD} add 2200 deny ip from 169.254.0.0/16 to any out via ${LanOut}
#рубаем мультикастовые рассылки
${FwCMD} add 2400 deny ip from 240.0.0.0/4 to any out via ${LanOut}
#разрешаем все установленные соединения (если они установились -.
#значит по каким-то правилам они проходили.)
${FwCMD} add 2500 allow tcp from any to any established
#разрешаем весь исходящий траффик (серверу-то в инет можно? )
${FwCMD} add 2600 allow ip from ${IpOut} to any out xmit ${LanOut}
# разрешаем DNS снаружи (нам же надо узнавать IP по именам машин?)
${FwCMD} add 2755 allow udp from any to any 53 via ${LanOut}
${FwCMD} add 2756 allow udp from any 53 to any via ${LanOut}
# эхо-ответ и время жизни пакета истекло
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
# разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add 3100 allow tcp from any to any via ${LanIn}
# разрешаем весь udp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add 3200 allow udp from any to any via ${LanIn}
# разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add 3300 allow icmp from any to any via ${LanIn}
${FwCMD} add 3475 allow tcp from any to any out via ${LanOut} setup keep-state

zeliboba

Цитата:

${FwCMD} add 2755 allow udp from any to any 53 via ${LanOut}
${FwCMD} add 2756 allow udp from any 53 to any via ${LanOut}

вместо этого воткните правило:
add 2755 allow udp from any to any 53 out via ${LanOut} keep-state
И заодно такое:
add 2756 allow tcp from any to any 53 out via ${LanOut} setup keep-state
для трансляции зон DNS


Добавлено:

Цитата:

IpOut="192.168.33.8" #внешний ИП

а как у вас серый ip-шник является внешним?

Добавлено:

Цитата:

Я грешу на неправильную настройку файлов hosts и resolv.conf

hosts оставьте дефолтным, в resolv.conf только строчки nameserver XX.XX.XX.XX, где XX.XX.XX.XX - DNS'ы провайдера

Цитата:

а как у вас серый ip-шник является внешним?

это ИП внешней сетевухи, в нее воткнут модем ADSL, настроенный Router-ом

Добавлено:
Сделал как вы сказали - все также!

zeliboba
как с этим правилом хоть что-то работает?
${FwCMD} add 2000 deny ip from 192.168.0.0/16 to any out via ${LanOut}

это правило
${FwCMD} add 2500 allow tcp from any to any established
надо поставить в самый вверх.

Если считаешь что дело в ipfw отключай правила, по несколько штук за раз.
Методом перебора определишь где проблема

Привет всем!
Не подскажете ли, можно ли в IPFW фильтровать пакеты по MAC-адресам, и в зависимости от MAC-адреса
источника пропускать или не пропускать пакеты?

walerchik
ipfw add deny all from any to any MAC any 00:00:00:00:00:00 via ${LanOut}

При этом есть несколько НО. Если у вас пакет идёт сначала на управляемый свитч или роутер, и тока потом попадает в ipfw - не покатит данный способ. Также в sysctl выставляете net.link.ether.ipfw в 1.

Добавлено:
а вообще Гугл на данную тему выводит уйму вполне адекватных ссылок

Цитата:

как с этим правилом хоть что-то работает?
${FwCMD} add 2000 deny ip from 192.168.0.0/16 to any out via ${LanOut}

это правило
${FwCMD} add 2500 allow tcp from any to any established
надо поставить в самый вверх.

2000 закоментировано (сори, плохо скопировал), 2500 сделал 125. Результат тотже.

Мужики мож кто подгрузит мой конфиг для проверки.
Ниже дал конкретную ссыль которая не открывает. И стоит отключить фаер - все сразу пашет.

http://marks.goszakaz.saratov.gov.ru/workplace/dmframe.asp?url=/purchase/attach_files/fileinfo_form.asp%3Fflid%3D%26prtid%3D4469010%26objid%3D4304666%26objcode%3D3%26publication%3Dfalse%26header%3D%25u041F%25u0440%25u043E%25u0442%25u043E%25u043A%25u043E%25u043B%2520%25u0440%25u0430%25u0441%25u0441%25u043C%25u043E%25u0442%25u0440%25u0435%25u043D%25u0438%25u044F%2520%25u0438%2520%25u043E%25u0446%25u0435%25u043D%25u043A%25u0438%2520%25u043A%25u043E%25u0442%25u0438%25u0440%25u043E%25u0432%25u043E%25u0447%25u043D%25u044B%25u0445%2520%25u0437%25u0430%25u044F%25u0432%25u043E%25u043A%2520%25u2116%25204304666/1%26purpose%3DFILETYPE.PROTOCOL

Что бы не путать народ - если появиться окно с надписью "Необходимо выполнить вход в систему." -это нормально. А вот если долго-долго ждать и ничего не появиться, то значит мой конфиг удачно подгружен )))

интересно, а как у тебя работает тогда инет, если при остановке фаервола перестает работать нат ?

Цитата:

если при остановке фаервола

я имею ввиду при включении правила allow any to any.
последний правилом стоит ${FwCMD} add 5000 allow log all from any to any и вот что в логах
Aug 4 10:40:00 f8 kernel: ipfw: 5000 Accept UDP 192.168.0.19:1376 84.19.165.194:12000 out via em1
Aug 4 10:40:00 f8 kernel: ipfw: 5000 Accept UDP 192.168.0.220:1528 84.19.165.194:12000 out via em1
Aug 4 10:40:01 f8 kernel: ipfw: 5000 Accept UDP 192.168.0.7:1368 84.19.165.194:12000 out via em1
Aug 4 10:40:02 f8 kernel: ipfw: 5000 Accept UDP 192.168.33.157:137 67.228.112.196:137 out via em1
Aug 4 10:40:05 f8 last message repeated 2 times
Aug 4 10:40:06 f8 kernel: ipfw: 5000 Accept UDP 192.168.0.67:1745 84.19.165.194:12000 out via em1
Aug 4 10:40:12 f8 kernel: ipfw: 5000 Accept P:2 192.168.1.177 224.0.0.1 in via em0
Aug 4 10:40:18 f8 kernel: ipfw: 5000 Accept UDP 192.168.0.159:1448 84.19.165.194:12000 out via em1
Aug 4 10:40:24 f8 kernel: ipfw: 5000 Accept P:2 192.168.1.177 224.0.0.1 in via em0
Aug 4 10:40:24 f8 kernel: ipfw: limit 10 reached on entry 5000

скажите как отключить лимит 10 строк?

и правильно ли отрабатывает команда?:
f8# nslookup mail.ru
Server: 88.147.129.15
Address: 88.147.129.15#53

Non-authoritative answer:
Name: mail.ru
Address: 217.69.128.41
Name: mail.ru
Address: 217.69.128.42
Name: mail.ru
Address: 217.69.128.43
Name: mail.ru
Address: 217.69.128.44

вобщем так

с фаерволом так никто не разбирается - сначала надо все пропустить а потом добавлять правила - иначе ты не поймешь как он работает. Только мало добавлять правила - надо еще и понимать как оно работает. Иначе будешь с глупыми вопросами постоянно бегать по форумам.


Добавлено:
Кстати, есть очень даже рабочий дефолтный фаервол. Надо только в rc.conf подобавлять данные верные

firewall_enable="NO" # Set to YES to enable firewall functionality
firewall_script="/etc/rc.firewall" # Which script to run to set up the firewall
firewall_type="UNKNOWN" # Firewall type (see /etc/rc.firewall)
firewall_quiet="NO" # Set to YES to suppress rule display
firewall_logging="NO" # Set to YES to enable events logging
firewall_flags="" # Flags passed to ipfw when type is a file
firewall_client_net="192.0.2.0/24" # Network address for "client" firewall.
firewall_simple_iif="ed1" # Inside network interface for "simple" firewall.
firewall_simple_inet="192.0.2.16/28" # Inside network address for "simple" firewall.
firewall_simple_oif="ed0" # Outside network interface for "simple" firewall.
firewall_simple_onet="192.0.2.0/28" # Outside network address for "simple" firewall.
firewall_myservices="" # List of TCP ports on which this host offers services for "workstation" firewall.
firewall_allowservices="" # List of IPs which have access to $firewall_myservices for "workstation" firewall.
firewall_trusted="" # List of IPs which have full access to this host for "workstation" firewall.
firewall_logdeny="NO" # Set to YES to log default denied incoming packets for "workstation" firewall.
firewall_nologports="135-139,445 1026,1027 1433,1434" # List of TCP/UDP ports for which denied incoming packets are not logged for "workstation" firewall.
firewall_nat_enable="NO" # Enable kernel NAT (if firewall_enable == YES)
firewall_nat_interface="" # Public interface or IPaddress to use
firewall_nat_flags="" # Additional configuration parameters

zeliboba
в общем, подгрузил я ваш конфиг на резервный гейт, быстренько поднял сквид и всё в итоге работает. Правило 00005 само собой убрал.
Конфиг Сквида:

http_port 3128
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl all src 0.0.0.0/0.0.0.0
http_access allow all

Ковыряйте либо сквид (что вероятнее всего), либо модем. Файрвол тут походу не при чём

Добавлено:
ах да, вот что забыл написать, в этом возможно и вся загвоздка у вас:
ipfw add 00006 allow all from any to any via ${LanIn}

Не стал искать такое правило у вас, добавил его сам. Это правило разрешает весь трафик внутри локалки. Без него существовала вероятность не подключиться к гейту удалённно. Так что уберите для начала правило 00005 и вставьте это, мб здесь и проблема. А вообще tankistua дельный вам совет дал: откройте всё и потихоньку добавляйте нужные вам правила. Простым копи-пастом чему-то научиться очень сложно

Спасиб, мужики. На squid грешить смысла нет, ведь по НАТу то тоже не пашет. Хотя со squidа и начинал, разрешал в нем все и всем.
по поводу разрешения всего в локалке - оно есть.
Короче, добавил строку ${FwCMD} add 3305 allow icmp from any to any via ${LanOut}
и все заработало.
Скажите, это не критично разрешать пинг всем и везде?

Добавлено:
Теперь в логе DENY полно:
Aug 4 12:47:34 f8 kernel: ipfw: 3500 Deny UDP 192.168.0.220:1867 84.19.165.194:12000 out via em1
Aug 4 12:47:34 f8 kernel: ipfw: 3500 Deny UDP 192.168.0.19:1941 84.19.165.194:12000 out via em1
Aug 4 12:47:35 f8 kernel: ipfw: 3500 Deny UDP 192.168.0.7:1637 84.19.165.194:12000 out via em1
Aug 4 12:47:37 f8 kernel: ipfw: 3500 Deny UDP 192.168.0.84:3214 94.76.206.216:1743 out via em1
Aug 4 12:47:38 f8 kernel: ipfw: 3500 Deny UDP 192.168.0.84:3215 94.76.218.18:1743 out via em1
Aug 4 12:47:38 f8 kernel: ipfw: 3500 Deny UDP 192.168.0.84:3216 94.76.206.216:1743 out via em1
Aug 4 12:47:39 f8 kernel: ipfw: 3500 Deny UDP 192.168.0.84:3217 94.76.218.18:1743 out via em1

Эт нормально?

Извините может темой ошибся. Подскажите операционную систему работающую как прокси сервер (на замену UserGate) если таковые имеются. Чтобы в самой системе была возможность настраивать пользователей и т.д.

Цитата:

операционную систему работающую как прокси сервер

Ставить freeBsd или линукс и настраивать самому руками.
Есть готовое решение - http://www.ideco-software.ru/
платное, ломаное, я ставил, мне не понравилось.
Для винды полно их: Трафик-инспектор, ISA и т.д.