» FreeBSD + ipfw rules

хмм.. то что ты написал - тоже не работает
список только правиться - вот он весь

Цитата:

ipfw list
00100 deny ip from any to 127.0.0.0/8
00200 deny ip from 127.0.0.0/8 to any
00300 deny tcp from any to any dst-port 445
00400 deny tcp from any to any dst-port 5554
00500 deny tcp from any to any dst-port 9995
00600 deny tcp from any to any dst-port 9996
00700 deny tcp from any to any dst-port 3127
00800 deny udp from any to any dst-port 4444
00900 deny tcp from any to any dst-port 135
01000 deny udp from any to any dst-port 2001
01100 deny udp from any to any dst-port 2002
01200 deny ip from 0.0.0.0/8 to any
01300 allow ip from any to any
01400 deny icmp from any to any
01500 deny log icmp from any to any
01600 deny log icmp from any to any in via rl0
01700 deny log icmp from any to any in via ep0
65535 deny ip from any to any

Цитата:

01300 allow ip from any to any

Это правило разрешает ВСЕ, соответственно те правила что идут дальше не обрабатываются.


Цитата:

01400 deny icmp from any to any
01500 deny log icmp from any to any
01600 deny log icmp from any to any in via rl0
01700 deny log icmp from any to any in via ep0

Зачем все это дублировать?

Demetrio
так я его руками и забивал щас весь (дубль в смысле )- пробовал т.е
а 01300 allow ip from any to any усмотрел - но поздно - ты уже ответил

Добрый день.
Проблема: правила ipfw которые надо добавить чтобы бесперебойно работал NFS (клиент). Методом "научного тыка" я пришёл к таким выводам:

Цитата:

eternity:/usr/local/etc/$ cat firewall.conf
#!/bin/sh

ipfw zero
ipfw resetlog
ipfw -q -f flush

fwcmd="/sbin/ipfw -q add"

${fwcmd} allow ip from any to any via lo0 # Allow anything via loopback interface
${fwcmd} count ip from any to me via fxp0 # Count incomming traffic from Onet
${fwcmd} count ip from me to any via fxp0 # Count outgoing traffic to Onet
${fwcmd} count ip from any to me via tun0 # Count incomming internet traffic
${fwcmd} count ip from me to any via tun0 # Count outgoing internet traffic
${fwcmd} deny log ip from 192.168.0.0/16 to me # RFC 1918 private IP
${fwcmd} deny log ip from 10.0.0.0/8 to me via tun0 # RFC 1918 priavateIP (only via tun device)
${fwcmd} deny log ip from 172.16.0.0/12 to me via tun0 # RFC 1918 private IP (only via tun device)
${fwcmd} deny log ip from 127.0.0.0/8 to me # loopback
${fwcmd} deny log ip from 0.0.0.0/8 to me # loopback
${fwcmd} deny log ip from 169.254.0.0/16 to me # DHCP auto-config
${fwcmd} deny log ip from 192.0.2.0/24 to me # Reserved for docs
${fwcmd} deny log ip from 204.152.64.0/23 to me # Sun cluster interconnect
${fwcmd} deny log ip from 224.0.0.0/3 to me # Class D & E multicast
${fwcmd} check-state # Check dynamic rules
${fwcmd} unreach host log icmp from any to me icmptypes 8,13,15,17 # echo, timestamp, information, address mask requests
${fwcmd} allow icmp from any to any # Allow any other ICMPs
${fwcmd} allow udp from me to any dst-port 111 keep-state #
${fwcmd} allow udp from any to me src-port 111 keep-state #
${fwcmd} allow udp from me to any dst-port 1022 keep-state # NFS related things
${fwcmd} allow udp from any to me src-port 1022 keep-state #
${fwcmd} allow ip from 10.0.0.132 to me frag #
${fwcmd} allow ip from me to any dst-port 2049 keep-state #
${fwcmd} allow udp from me to 10.0.0.131 dst-port 123 keep-state # Network time protocol
${fwcmd} allow udp from me to 10.0.0.130 dst-port 53 keep-state # Outgoing dns queries
${fwcmd} allow 47 from 10.0.0.130 to me keep-state # Allow incomming 47th protocol (GRE?)
${fwcmd} allow 47 from me to 10.0.0.130 keep-state # Allow outgoing 47th protocol (GRE?)
${fwcmd} allow tcp from me to 10.0.0.130 dst-port 1723 keep-state # VPN
${fwcmd} allow tcp from me to any dst-port 22,80,113,443,2401,5999,6667 keep-state # SSH, Web, SSL'ed Web, CVS, NFS, CVSup, IRC
${fwcmd} allow tcp from me to 213.85.10.5 dst-port 25,110 via tun0 keep-state # SMTP & POP3
${fwcmd} allow tcp from me to 10.0.0.131 dst-port 5222 keep-state # Jabber
${fwcmd} allow tcp from me to any dst-port 21 keep-state # Outgoing ftp queries
${fwcmd} allow tcp from any to me src-port 20 keep-state # Incoming ftp data

Как видно в одном из правил я разрешаю проход фрагментированных пакетов от NFS сервера ко мне, но что будет если я захочу примонтировать раздел с другого компьютера? Придётся снова модифицировать правила firewall'a, с другой стороны, можно было бы добавить "allow ip from any to any frag", но так мой компьютер сможет быть подвержен сканированию каким-нибудь nmap-подобным сканером с опцией фрагментации пакетов для прохода через роутер. Возможно существуют какие-нибудь другие способы разрешения монтирования NFS разделов?
Спасибо.

всем привет, в каком файле находятся те правила, которые выводятся при команде ipfw list?

sergeiddt
AFAIK, в памяти, а не файле...

Pukite

Цитата:

AFAIK, в памяти, а не файле...

полностью согласен
sergeiddt
посмотри в своем /etc/rc.conf строчку firewall_script=
это и будет тебе файл в котором описаны твои правила

Pukite
т.е. их все нужно вручную удалять/добавлять по одной?

sergeiddt

Цитата:

т.е. их все нужно вручную удалять/добавлять по одной?

Ну можно и не по одной .
Там описываешь правила для ипфв, которые закинутся в память и с которыми он сверяет каждый пакет. Правила читаются и применяются, если найдены совпадения, сверху вниз. Если пакет на каком то этапе отправлятся временно на обработку другому процессу, то после обработки он веренется в тоже место откуда ушел и продолжит сваливаться вниз по списку правил пока не найдет удовлетворяющее. как только совпадение правила и пакета найдено (найдено правило под которое подпадает данный пакет) все остальные правила расположеные ниже игнорируются.
Напр:
пакет сваливается сверху и первое правило которое ему совпадает это 500 ое заворот в НАТД :
...
500 divert natd all from 192.168.0.0/24 to any out xmit xl0
...
тогда пакет пульнется в натд а когда натд его обработает то вбросит в то же место "откедова взял" то есть дальше на пакет пойдут примерятся все правила ниже 500го пока допустим правило
....
610 allow tcp from 111.111.11.111 (наш наружный айп) to any 20,21,22,23,80,443,4000
....
позволит этом пакету пульнутся в мир , туда куда ему нужно.

привет всем...
имеется ПК celeron 300 + 64 mb ОЗУ + 2 сетевых карточки, установил FreeBSD 5.2.1 + перекомпилировал ядро, добавил следующие параметры:


options HZ=1000
options QUOTA
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPDIVERT
options TCP_DROP_SYNFIN
options DUMMYNET

После установки системы видно два интерфейса xl0 (100 Mb) and xl1 (100 Mb) Соответственно если первому задать ifconfig 192.168.0.5 netmask 255.255.255.0 (карточка работает внутренний пинг проходит), то при попытке задать конфигурацию второй плате выдает вот что: ifconfig: ioctl (SIOCAIFADDR): File exists (пинг не проходит) Если делать наоборот (первой задавать конфигурацию, то напишет выше изложенное уже для другой).
я что-то забыл включить?

sergeiddt
А какую конфигурацию ты хочешь задать для второй карточки? Такое впечатление что ты хочешь второй сетевухе отдать АйПи который уже на первой сконфигурен...

А ежели все так как ты раньше писал - то покажи что у тебя сисинcталл сформировал в файле /etc/rc.conf - особенно строки if_config_xl0= и if_config_xl1= ?

Цитата:

привет всем...
имеется ПК celeron 300 + 64 mb ОЗУ + 2 сетевых карточки, установил FreeBSD 5.2.1 + перекомпилировал ядро, добавил следующие параметры:


options HZ=1000

Ну и как твой целерон под нагрузкой поживает? Не дымится еще?
HZ=300 ему ИМХО выше крыши.

По сути - #cat /etc/rc.conf и #ifconfig сюда

Цитата:

Ну и как твой целерон под нагрузкой поживает? Не дымится еще?
HZ=300 ему ИМХО выше крыши.

спасибо за подсказку... (кстати, нет ничего не дымится 99 % Idle)


Добавлено:
zow
PomidorOFF
спасибо с этим вопросом я уже разобрался, для сетевухи, что в инет выставил через /stand/sysinstall -->configure-->networking ну и так далее, затем, чтобы настроить второй интерфейс набрал так: ifconfig_xl0 192.168.1.1 netmask 255.255.255.0 - эту строчку точно не помню, все заработало при подключении второго компа к сетевухе № 2 все пингуется...
Теперь мучаюсь с nat'ом, никто по этой статье http://unixdoc.ru/index.php?mode=2&podmode=1&arcicle_id=15 не настраивал? у меня не заработало, потом искал в yandex'e по этому же поводу и нашел на сайте opennet.ru, что в этой статье ошибка где-то в /sbin/ ipfw add ну и так далее.... где можно найти нормальную статью по настройке ната?

sergeiddt
Месяца два назад сам искал то же. Тут на форуме почти ничего не нашел. Ищи в гугле если подробно нужно расписать.
Если быть кратким , то приблизително так:
/etc/natd.conf
--------------------
interface xl0 (наружный)
---------------------

/etc/rc.conf
---------------
natd_enable="YES"
---------------

скрипт конфигурации файера
-------------
add divert natd all from 192.168.0.0/24 to any out xmit xl0 (наружный)
add divert natd all from any to 111.111.111.111(наружный айп) in recv xl0
----------------

Всем привет. Стоит FreeBSD 5.3, через неё ходим в инет. Все хорошо и замечательно, только вот на фтп(на любой) в активном режиме зайти не могу, только пассивный. Подскажите где копать, сам во FreeBSD только начинаю разбиратся, я понял что какие-то параметры надо в firewall.rules прописывать(удалять?).
Заранее благодарен за любой совет

Добрый день.
Достался "в наследство" шлюз на FreeBSD с криво настроенным ipfw.
На машине должны быть открыты порты:
20,21 - FTP
22 - SSH
25 - SMTP
53 - DNS
80 - Apache
110 - POP3
3128 - Squid (только для пользователей LAN)
Остальные порты надо закрыть.
При проверке этой машины на открытость портов обнаружил, что открыт порт 31337
"Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice, DeepBO" судя по описанию "http://sygatetech.com/quickscan.html"
Начал смотреть правила файрвола и обнаружил, что они мягко говоря "дырявые":
# xl0 - LAN
# xl1 - Internet
# 192.168.0.44 - FreeBSD router
# 192.168.0.1-192.168.0.50 LAN users IP
00100 allow ip from any to any via lo0
00200 allow ip from any to any via xl0
00300 divert 8668 ip from any to any
00400 deny icmp from any to any frag
00450 allow ip from any to any via xl1
00500 allow icmp from any to any
00600 allow tcp from any to any 80 out xmit xl0
00700 allow tcp from any 80 to any out xmit xl0
00800 allow udp from any to any 53
00900 allow udp from any 53 to any
01000 allow udp from any to any 110
01100 allow udp from any 110 to any
01200 allow tcp from any to any 21
01300 allow tcp from any 20 to any
01400 allow tcp from any to any 20
01500 allow tcp from 192.168.0.5 22 to 192.168.0.44
01600 allow tcp from 192.168.0.44 to 192.168.0.5 22
01700 allow tcp from any to any 53,80,110 via xl1
65535 deny ip from any to any

Очень "смущает" правило 450, видимо его надо заменить на нечто в виде:
00450 allow ip from (здесь наверное 192.168.0.1-192.168.0.50 или с помощью битовой маски) to any via xl1
и тогда наверное надо будет добавить еще одно правило вида
00450 allow ip from ME to any via xl1
Или не так?
Где-то надо будет описать еще что все порты кроме указанных в правилах закрыты!

Кстати, при проверке машины Win2k3, защищенной Kerio Winroute http://sygatetech.com/quickscan.html показывает, что нерабочие порты имеют статус "Blocked" (Ideally your status should be "Blocked". This indicates that your ports are not only closed, but they are completely hidden (stealthed) to attackers.)
А при проверке машины c FreeBSD с ipfw нерабочие порты имеют статус "Closed".
Собственно еще вопрос: Как сделать на ipfw блокирование портов, а не только их закрытие?

blocked - это те что закрыты firewall
closed - это порты на которых не висит не одна из служб. такого эфекта можно добится заменим в правилах ipfw слово deny на reject

а насчет правил:
посмотри раздел simple в файле /etc/rc.firewall. Он намного лучше чем эти правила :)
вместо inet, imask,iip, iif, onet, omask, oip, oif -
пропиши свои и довавь порты которые надо открыть (в том месте помнится есть коментарии)

что-бы потом это все заработало постваь в /etc/rc.conf
firewall_type="simple"

и перезапусти ipfw (/etc/rc.d/ipfw restart)

wInuX
Спасибо, попробую.

Хотя в моем rc.firewall такого раздела, как такового нету. Может быть из-за того, что FreeBSD староватая.
Все таки не очень понимаю для чего нужно именно ТАКОЕ правило:
# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
#${fwcmd} add allow ip from any to any
# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

А в моем rc.firewall есть только вот что:
[5~#!/bin/sh
fwcmd="/sbin/ipfw -q"

${fwcmd} -f flush



# Net & interfaces
# Internet interface with real IP
ifout="xl1"

# Local interface with local IP
ifin="xl0"

fw="200.200.200.1"
local="200.200.200.2"
client="192.168.1.1"
net="192.168.0.0/24"
mask="255.255.255.0"


# allow local interface trafic
${fwcmd} add pass all from any to any via lo0

# allow trafic in our LAN
${fwcmd} add pass all from any to any via ${ifin}

# all trafic to NAT
#${fwcmd} add divert 8668 ip from ${net} to any out via ${ifout}
${fwcmd} add divert 8668 ip from any to any

# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
#${fwcmd} add allow ip from any to any
# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

# deny fragmented packet transfer
${fwcmd} add deny icmp from any to any frag

# ICMP allow
${fwcmd} add pass ICMP from any to any

# SMTP demos
# ${fwcmd} add pass tcp from ${net} to 195.133.224.18 25 out

#${fwcmd} add pass tcp from 195.133.224.18 25 to any out

# SMTP deny
# ${fwcmd} add deny tcp from any to any 25 out via ${ifout}
#${fwcmd} add pass tcp from not ${net} to me smtp

# HTTP
${fwcmd} add pass tcp from any to any 80 out via ${ifin}
${fwcmd} add pass tcp from any 80 to any out via ${ifin}

# DNS
${fwcmd} add pass udp from any to any 53
${fwcmd} add pass udp from any 53 to any

# POP3
${fwcmd} add pass udp from any to any 110
${fwcmd} add pass udp from any 110 to any

# FTP allow 20 and 21 tcp port
${fwcmd} add pass tcp form any 21 to any
${fwcmd} add pass tcp from any to any 21
${fwcmd} add pass tcp from any 20 to any
${fwcmd} add pass tcp from any to any 20

# SSH
${fwcmd} add pass tcp from 192.168.0.5 22 to 192.168.0.44

${fwcmd} add pass tcp from 192.168.0.44 to 192.168.0.5 22

# all http trafic to Squid
${fwcmd} add fwd 127.0.0.1,3128 tcp from ${net} to any http out via ${ifout}

# deny trafic from internet to LAN
# ${fwcmd} add deny all from 192.168.1.0/24 to ${net}:${mask} via ${ifin}
# ${fwcmd} add deny all from ${net}:${mask} to 192.168.1.0/24 via ${ifin}


# allow some TCP ports in Internet interface

${fwcmd} add allow tcp from any to any 53,80,110 via ${ifout}

#${fwcmd} add pass tcp from me to any 25 via ${ifout}
#${fwcmd} add pass tcp from any 25 to me via ${ifout}
#${fwcmd} add pass tcp from me to any 110 via ${ifout}
#${fwcmd} add pass tcp from any 110 to me via ${ifout}
#${fwcmd} add pass udp from me to any 53 via ${ifout}
#${fwcmd} add pass udp from any 53 to me via ${ifout}
#${fwcmd} add pass tcp from me to any 80 via ${ifout}
#${fwcmd} add pass tcp from any 80 to me via ${ifout}

jills
это наверно твое "наследство постаралось" :)

вот этот раздел из стандартного rc.firewall
[more]
# set these to your outside interface network and netmask and ip
oif="?"
onet="?"
omask="?"
oip="?"

# set these to your inside interface network and netmask and ip
iif="?"
inet="?"
imask="?"
iip="?"

setup_loopback

# Stop spoofing
${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}

# Stop RFC1918 nets on the outside interface
${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}
${fwcmd} add deny all from any to 192.168.0.0/16 via ${oif}

# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
# on the outside interface
${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}

# Network Address Translation. This rule is placed here deliberately
# so that it does not interfere with the surrounding address-checking
# rules. If for example one of your internal LAN machines had its IP
# address set to 192.0.2.1 then an incoming packet for it after being
# translated by natd(8) would match the `deny' rule above. Similarly
# an outgoing packet originated from it before being translated would
# match the `deny' rule below.
case ${natd_enable} in
[Yy][Ee][Ss])
if [ -n "${natd_interface}" ]; then
${fwcmd} add divert natd all from any to any via ${natd_interface}
fi
;;
esac

# Stop RFC1918 nets on the outside interface
${fwcmd} add deny all from 10.0.0.0/8 to any via ${oif}
${fwcmd} add deny all from 172.16.0.0/12 to any via ${oif}
${fwcmd} add deny all from 192.168.0.0/16 to any via ${oif}

# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
# on the outside interface
${fwcmd} add deny all from 0.0.0.0/8 to any via ${oif}
${fwcmd} add deny all from 169.254.0.0/16 to any via ${oif}
${fwcmd} add deny all from 192.0.2.0/24 to any via ${oif}
${fwcmd} add deny all from 224.0.0.0/4 to any via ${oif}
${fwcmd} add deny all from 240.0.0.0/4 to any via ${oif}

# Allow TCP through if setup succeeded
${fwcmd} add pass tcp from any to any established

# Allow IP fragments to pass through
${fwcmd} add pass all from any to any frag

# Allow setup of incoming email
${fwcmd} add pass tcp from any to ${oip} 25 setup

# Allow access to our DNS
${fwcmd} add pass tcp from any to ${oip} 53 setup
${fwcmd} add pass udp from any to ${oip} 53
${fwcmd} add pass udp from ${oip} 53 to any

# Allow access to our WWW
${fwcmd} add pass tcp from any to ${oip} 80 setup

# Reject&Log all setup of incoming connections from the outside
${fwcmd} add deny log tcp from any to any in via ${oif} setup

# Allow setup of any other TCP connection
${fwcmd} add pass tcp from any to any setup

# Allow DNS queries out in the world
${fwcmd} add pass udp from ${oip} to any 53 keep-state

# Allow NTP queries out in the world
${fwcmd} add pass udp from ${oip} to any 123 keep-state

# Everything else is denied by default, unless the
# IPFIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel
# config file.
[/more]

wInuX
Все таки надеюсь, что не rc.conf, а rc.firewall ?

да. уже поправил

2 wInuX

А в эти параметры чего забивать?
iif="?" # типа интерфейс? xl1 например?
inet="?" # а здесь чего писать?
imask="?" # маска сети что ли?
iip="?" # тут видимо ip адрес интерфейса?

iif="?" - это интерфейс. (например rl0)
inet="?" - это номер сети (например 192.168.0.0)
imask="?" -это маска сети (например 255.255.255.0)
iip="?" это адрес интерфейса (например 192.168.0.1)

wInuX
Спасибо.
Дефолтовые правила действительно помогли.
Снаружи теперь ничего лишнего не видно.
Но вот кое-что не работает, а именно NAT, ICQ и почта на внешних серверах.
xl0 - LAN interface
xl1 - Internet interface
111.222.333.444 - real IP address
Мои правила по ipfw show такие:
00100 deny ip from 192.168.0.0/24 to any in recv xl1
00200 deny ip from 195.133.227.0/30 to any in recv xl0
00300 deny ip from any to 10.0.0.0/8 via xl1
00400 deny ip from any to 172.16.0.0/12 via xl1
00500 deny ip from any to 192.168.0.0/16 via xl1
00600 deny ip from any to 0.0.0.0/8 via xl1
00700 deny ip from any to 169.254.0.0/16 via xl1
00800 deny ip from any to 192.0.2.0/24 via xl1
00900 deny ip from any to 224.0.0.0/4 via xl1
01000 deny ip from any to 240.0.0.0/4 via xl1
01100 divert 8668 ip from any to any via xl1
01200 allow tcp from any to any established
01300 allow ip from any to any frag
01400 allow tcp from any to 111.222.333.444 25 setup
01500 allow tcp from any to 111.222.333.444 53 setup
01600 allow udp from any to 111.222.333.444 53
01700 allow udp from 111.222.333.444 53 to any
01800 allow tcp from any to 111.222.333.444 80 setup
01900 deny log tcp from any to any in recv xl1 setup
02000 allow tcp from any to any setup
02100 allow udp from 111.222.333.444 to any 53 keep-state
02200 allow udp from 111.222.333.444 to any 123 keep-state
65535 deny ip from any to any

Цитата:

Но вот кое-что не работает, а именно NAT, ICQ и почта на внешних серверах.

а что тогда работает? :)


вроде все правильно.
у тебя natd запущен?.
а с самого сервера можешь зайти на аську или на почту?
DNS на локальных компьютерах работает?

Добавлено:
и еще добавь в начала три правила для localhost

ipfw allow all from any to any via lo0
ipfw deny all from 127.0.0.0/8 to any
ipfw deny all from any to 127.0.0.0/8

wInuX
Добавил правила для lo.
На локальной машине был прописан только внутренний адрес рутера.
В результате ресолвинг не работал.
После добавления внешнего адреса, в качестве secondary ресолвинг запахал.
Сейчас вроде бы все заработало.
Большое спасибо!

Доброй ночи. Трабла такая стоит фря на ней Но дени. Со стандартными правилами от Но дени авторизация не работает.

тякая проблема
Есть VPN сеть 10.10.10.0/24 в которую надо отдавать интернет через NAT.
Вроде сделал все прекрасно пингует, DNS, ася пашет, а вот HTTP не работает
прчем соединеие с портом устанавлевает и зависает на загрузке.

OS FreeBSD 4.9
конфиги

/etc/natd.conf

Код:
use_sockets yes
same_ports yes
unregistered_only yes
interface rl1

YuroN

Цитата:

# HTTP & SSL
ipfw add allow tcp from any to ${SEG_VPN} 80 via ${ETHER1}

попробуй так...
ipfw add allow tcp from any to ${SEG_VPN} 80
ipfw add allow tcp from any 80 to ${SEG_VPN}