>>>По двум остальным командам не вывело ничего ....
>>>Началось все после того как я изменил правила ipfw ...
>>
>>Есть один PR: http://www.freebsd.org/cgi/query-pr.cgi?pr=kern/86427
>>Там проблема другая, но на сколько я вижу, общее у вас одно
>>- divert + vlan..
>>rwason@ предложил там патч, если есть желание - можете попробовать, вдруг поможет..
>>
>Есть идея, что проблема в конструкции
>$cmd divert natd all from me to any via $oif
>$cmd divert natd all from Х.Х.Х.Х/28 to any via $oif
>$cmd divert natd all from any to any in via $oif
>Что пакет проходит от дайверта к дайверту но уже с no divert
>tag.
>Такое может быть ?
>Если да, расскажите как грамотнее частично натить сеть (не все облако, а
>определенный диапазон) Эх отправить бы тебя читать маны как ты любишь делать, но в отличае от тебя я тебе всё же подскажу одну вещ..
1. Проверь в /etc/rc.conf на наличае строчек на всякий случай (ведь у тебя один интерфейс для ната, а бережённого Бог бережёт)
natd_enable="YES"
natd_interface="vlan0"
2. У тебя явный бордак с правилами, я бы сделал так
$cmd add divert natd all from Х.Х.Х.Х/28 to any via $oif
$cmd add divert natd all from Х1.Х1.Х1.Х1/24 to any via $oif
$cmd add divert natd all from any to me via $oif
Где Х1.Х1.Х1.Х1/24 некая другая сеть или какой-то один адрес, котрую тоже нужно натить.
3. Я тут уже писал об этом но опять же никто не обратил внимание. ipfw работает по принцыпу сработало хоть одно правило на пакете - дальше никакие правила не рассматриваются, пакет кидается прямо на таблицу маршрутизации по которой уже определяется что с ним делать дальше!
А это означает что тебе нужно все запрещающие правила ставить перед правилами ната, а все разрешающие после правил ната например так:
$cmd add deny log ip from 192.168.0.0/16 to any in via $oif
$cmd add deny log ip from 176.16.0.0/12 to any in via $oif
$cmd add deny log ip from 10.0.0.0/8 to any in via $oif
$cmd add divert natd all from Х.Х.Х.Х/28 to any via $oif
$cmd add divert natd all from Х1.Х1.Х1.Х1/24 to any via $oif
$cmd add divert natd all from any to me via $oif
$cmd add allow any from any
А вообще ты можешь например задать посеть для ната а потом правилами выше правил ната выбить из неё определённые адреса или даже групу адресов, просто запретив им соединяться на внутренний интерфейс.