Снова NAT, FreeBSD 7.0 (помогите раздать инет)

[gigi]

Доброго времени суток!

вот уже третий день мучаюсь с созданием шлюза для локалки
мозг выкипает от манов. не могу понять, в чем проблема

ситуация довольно стандартная

есть АДСЛ модем с айпишником 192.168.1.1
он приходит на интерфейс vr0

есть внутренний интерфейс rl0 раздаю через 10.10.0.1

пересобрал ядро со следующими опциями:

options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_FORWARD
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPDIVERT
options DUMMYNET

в rc.conf какие только комбинации не перепробовал
сейчас там так:

keymap="ua.koi8-u.shift.alt"
linux_enable="YES"
moused_enable="YES"
natd_enable="YES"
natd_interface="vr0"
natd_flags=""
firewall_enable="YES"
firewall_script="/etc/rc.ipfw"
ifconfig_vr0="inet 192.168.1.5 netmask 255.255.255.0"
ifconfig_rl0="inet 10.10.0.1 netmask 255.255.255.0"
gateway_enable="YES"
defaultrouter="192.168.1.1"
hostname="inet-serv"
sendmail_enable="NONE"


в /etc/rc.ipfw:

#!/bin/sh
ipfw -f flush
ipfw add divert natd all from 10.10.0.1/24 to any out via vr0
ipfw add divert natd all from any to 192.168.1.5 in via vr0

на клиентской виндовой машине прописал:
ip 10.10.0.2
mask 255.255.255.0
gateway 10.10.0.1
dns 10.10.0.1

при чем интересно, что если поставить firewall_type = "open", то инет пропадает и на серверной машине

с клиента пингуются оба интерфейса сервера

Помогите, пжлст... уже не знаю какой ман курить, разные вариации перепробовал с правилами, не фурычит ничего.
спасибо за ответы

[arachnid]

а это все правила? все три штуки?

[gigi]

а это все правила? все три штуки?

да, полное содержимое файла rc.ipfw

[arachnid]

вообще-то по умолчанию все должно быть открыто - что пишет ipfw show ?

[gigi]

вообще-то по умолчанию все должно быть открыто - что пишет ipfw show ?

# ipfw show

00100 0 0 divert 8668 ip from 10.10.0.0/24 to any out via vr0
00200 4758 3416805 divert 8668 ip from any to 192.168.1.5 in via vr0
65535 9485 4322062 allow ip from any to any

[arachnid]

можно обратить внимание, что никаких пакетов не попадает в первое правило - перенаправление для исходящих пакетов.
есть предложение - сделать строго по хэнду, а потом уже уложнять, когда заработает
http://www.freebsd.org/doc/en_US.ISO8859-1...twork-natd.html - нат
и вот тут http://www.freebsd.org/doc/en_US.ISO8859-1...walls-ipfw.html см. 31.6.5.7 An Example NAT and Stateful Ruleset

[gigi]

Угу...
попробовал я правила из хендбука

свел все до минимума вот так

00005 allow ip from any to any via rl0
00014 divert 8668 ip from any to any in via vr0
00015 check-state
00800 divert 8668 ip from any to any out via vr0

# ipfw show
00005 28 1896 allow ip from any to any via rl0 - запросы с клиентской машины
00014 0 0 divert 8668 ip from any to any in via vr0 - сюда не доходят...
00015 0 0 check-state
00800 0 0 divert 8668 ip from any to any out via vr0
65535 19428 6604820 allow ip from any to any

блин
начинаю все сначала...

[gigi]

Блин, ничего не помогает... сейчас все выглядит так

rc.conf

linux_enable="YES"
moused_enable="YES"
ifconfig_vr0="inet 192.168.1.5 netmask 255.255.255.0"
ifconfig_rl0="inet 10.10.0.1 netmask 255.255.255.0"
defaultrouter="192.168.1.1"

firewall_enable="YES"
firewall_script="/etc/rc.ipfw"
firewall_flags=""

gateway_enable="YES"
natd_enable="YES"
natd_interface="vr0"

hostname="inet-serv"
sendmail_enable="NONE"

rc.ipfw

fw="/sbin/ipfw -q"

${fw} -f flush
${fw} add divert natd ip from any to 192.168.1.5
${fw} add divert natd ip from 10.10.0.0/24 to any

inet-serv# ipfw show
00100 433 118809 divert 8668 ip from any to 192.168.1.5
00200 20 1400 divert 8668 ip from 10.10.0.0/24 to any
65535 2465 772429 allow ip from any to any

может еще какие-нибудь конфигурационные файлы затронул? я уже вырываю последнии клочки волос из головы

[gigi]

вроде прояснилось

если dns на клиентах писать 192.168.1.1 .... то инет работает... это же модем

что нужно еще прописать на сервере, чтобы на клиентах dns указывать = 10.10.0.1 ?

[gigi]

...
поднял named в режиме forward only

теперь все как надо

пойду посплю и состригу седые волосы ... )