Не осилил ipfw (Что не так в правилах?)

[uscr]

Хотел поиграться с ipwf, но не очень получается.

Имею:
интернеты раздаёт роутер d-link dir 320
машину с фрёй за роутером.

Хочу:
дать и иметь доступ ко всем компам за роутером
запретить все исходящие соединения в интернеты, за исключением тех, что инициированы мной.

Написал вот такие правила:

Код: Выделить всё

add 00100 allow ip from any to any via lo0
add 00110 deny ip from any to 127.0.0.1/8
add 00120 deny ip from 127.0.0.1/8 to any

add 00200 check-state

add 00300 allow all from 192.168.1.0/24 to me

add 00400 all from me to any

add 00500 allow all from any to any out setup keep-state

В итоге я имею доступ к сети 192.168.1.0/24 и из неё тоже имеют ко мне доступ.
Я не могу ходить в интернет.

Код: Выделить всё

$ ping ya.ru
PING ya.ru (87.250.250.3): 56 data bytes

И всё.
При этом увеличивается счётчик правил 00300, 00400, 65535

00300 - это DNS (он тоже на роутере)
00400 - тоже понятно.
Почему не приходят ответы?

[lastpriot]

кажись так
(rl0 моя сетевая, замените на нужное)

Код: Выделить всё

#!/bin/sh

ipfw="/sbin/ipfw -q"

IFout="rl0"

${ipfw} -f flush
${ipfw} zero
${ipfw} resetlog

${ipfw} add check-state

${ipfw} add allow ip from any to any via lo0

${ipfw} add deny log ip from me to 127.0.0.0/8 via ${IFout}
${ipfw} add deny log ip from 127.0.0.0/8 to me via ${IFout}

${ipfw} add allow tcp from any to any via ${IFout} setup keep-state antispoof
${ipfw} add allow udp from any to any via ${IFout}
${ipfw} add allow icmp from any to any via ${IFout} icmptypes 0,8,11,12,15,16

${ipfw} add 65534 deny log ip from any to any