>>>>>пакеты в мир уходят через ppp0, возвращаются с мира через ed0.
>>>>
>>>>это как?
>>>
>>>Наверно через спутник.
>>>
>>>Должно быть, примерно, так:
>>>${fwcmd} add divert natd ip from any to any in via
>>>ed0
>>>${fwcmd} add divert natd ip from any to any out via
>>>ppp0
>
>>Совершенно верно: возрат происходит через спутник! Примерно так, как описано выше я
>>и делал, только ничго не заработало. Вариант, когда все ходит через
>>один и тотже интерфейс работает. В моем же случае, пакет дивертица
>>на natd, natd отсылает в мир через ppp0, авозвращаеца через ed0,
>>девертица на natd, и дальше глухо. Конфиги пока приводить не буду,
>>там все по стандарту сделано....но если у кого-нить возникнут какие-нить едеи
>>- выложу!!!
>
>Стало быть все же спутник.
>Еще у Вас pptp протокол поднят на спутникового провайдера через ppp0?
>Давайте, краткую схемку интерфейсов и их IP . Понятно, что не фактические
>IP, а
>их обозначения (IP1, IP2, ... ). Не забудьте интефейсы DVB.
>Тогда распишу правила IPFW. В Магадане давно что-то подобное работает и не
>только там.
>
>
>
>Всем спасибо, уже разобрался что к чему. Если кому интересно было вот что!
rc.ipfw
1. ipfw add allow ip from any to "my IP" in via xl0
2. ipfw add deny ip from any to any in recv xl0
Крму не понятно: первое правило пропускает все что идет через спутник на меня, второе блокирует все что не мое. НАТ делал я так:
rc.ipfw
1. ipfw add divert natd all from any to "my IP" in via xl0
2. ipfw add allow ip from any to "my IP" in via xl0
3. ipfw add deny ip from any to any in recv xl0
4. ipfw add divert natd all from any to "my IP" in via ppp0
5. ipfw add divert natd all from 192.168.0.0/24 to "my IP" out via ppp0
Здесь следующее: 1 - отправляем нату всю что приходит от спутника, 2 - пропускает все что идет через спутник на меня,3 - блокирует все что не мое, 4 - отправляем нату всю что приходит от ppp0 (кое-что у меня возращается и по земле), 5 - передаем нату исходящие пакеты. Но это все не заработало. Ошибка была вот в чем: я не знал (чес слово не знал - иначеб не было меня тут) что пакет, после того как будет обработан натом, опять попадает в фаервол, да еще от имени интерфейса через который он зашол или будет уходить. Так вот, пройдя 1-е правило и нат пакет получает адрес 192.168.0.1, возвращаеца обратно в фаервол от интерфейса xl0 и третьим правилом убиваеца. Помогло следующее:
rc.ipfw
1. ipfw add divert natd all from any to "my IP" in via xl0
2. ipfw add allow ip from any to "my IP" in via xl0
3. ipfw add allow ip from any to 192.168.0.0/24 in via xl0
4. ipfw add deny ip from any to any in recv xl0
5. ipfw add divert natd all from any to "my IP" in via ppp0
6. ipfw add divert natd all from 192.168.0.0/24 to "my IP" out via ppp0
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
(ok) on 07-Апр-07, 16:49 
