[closed]Запретить входящие соединения из внешней сети
напиши нормальные правила для divert и не будет у тебя 2стороннего ната.
Подскажи плз, как нужно divert правильно написать?
divert natd ip from 'table(1)' to any out via rl0
divert natd ip from any to $alias_addr in via rl0
как-нить так.
видим:
-deny_incoming | -d
Do not pass incoming packets that have no entry in the inter-
nal translation table.
If this option is not used, then such a packet will be
altered using the rules in -target_address below, and the
entry will be made in the internal translation table.
deny ip from any to not $alias_addr in via rl0и оставления divert как у меня было до этого

Как я и думал - все элементарно!

Оставить комментарий
dangerr
Проблема следующая: при простейших правилах:Ясное дело, что кто-нибудь из внешней сети, прописав роут на 192.168.0.0/24 через мой шлюз сможет установить соединение с внутренним хостом. Поэтому я между этими строками вписал
где 192.168.0.0/24 - моя внутренняя сеть, rl0 - внешний интерфейс
Но после этого из внутренней сети стало невозможным выход во внешнюю...
С такими правилами тоже не стало работать:
где rl1 - внутренний сетевой интерфейс
172.16.xx.yyy - IP внешнего интерфейса
Причем если к последнему конфигу добавить крайне нежелаемую мной запись
add allow ip from any to 192.168.0.0/24 in via rl0
все начинает работать как при "allow ip from any to any"
Подскажите пожалуйста кто-нибудь как настроить, ведь должно быть элементарно.....