Помогите мне прожалюста . Я устоновил ядро заново и все работет.
Но я допустим пишу такое правило
ipfw add 70 allow ip from 192.168.11.69 to any via em0 пропускаю свой IP через NAT
и когда в самом внизу пишу такое правило
ipfw add 30000 deny ip from 192.168.11.0/24 to any via em0
автоматически связ разрывается.
И не идет ping v mail.ru
не идет ping 192.168.11.1
Как только удаляю ето правило ipfw add 30000 deny ip from 192.168.11.0/24 to any via em0 все отлично идет
Так в чем ж проблема
На заранее спосибо

ну... похоже ты сам себя баниш)))

ipfw add 70 allow ip from 192.168.11.69 to any via em0 пропускаю свой IP через NAT »
Через NAT пропускают divert или tee, а тут ты просто разрешаешь пакеты через конкретный интерфейс от определенного ip адреса и все.

Давай подробный листинг правил, а то не понятно ничего из того что ты изложил.

я установил прокси сервер
внутренный ip Http port 192.168.11.130 : 8080
acl our networks 192.168.11.0/24 192.168.192.0/24 192.168.194.0/24
прокси я пробовал и нат тоже вот с такими правилами
ipfw add 100 allow ip from 192.168.11.69 to any via em0
ipfw add 101 allow ip from 192.168.11.69 to 192.168.11.130
все работает. Оутлок работает и чат аска агент мсн конф зделал через прокси HTTP proxy 192.168.11.130 8080 все работаетю
Но я хочу запретит все етой сетке.
у меня в ядре только ети опции
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPDIVERT
options IPFIREWALL_FORWARD
options DUMMYNET
options IPSTEALTH
options TCP_DROP_SYNFIN
options IPFIREWALL_DEFAULT_TO_ACCEPT
options MAC

но как только я пишу такое правило ipfw add 30000 deny ip from 192.168.11.0/24 to any via em0 связ через порт 22 и инет разрывается
но по принципу IPFW Firewall-a ето правило не должно помешат той правиле которую я наверху написал

но в данный момент мешает

Да, привила файрвола покажите полностью. Никому не интересны "серые" сети, серьезно.

cail, Ты правила динамически меняешь или есть файл типа (/etc/rc.firewall)? Дай список правил, а не опции с которыми ядро было собрано.

нет я шас не ползуюс файл с правилами.Только стандартные правила.
Очен извеняюс я шас не на работе по етому не могу показат
Но насколько я помню вот такие.
00050 divert 8668 ip4 from any to any via em1
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 deny ip from any to any

уго сколько у тебя правил....

честно говоря не пойму в чём проблема-то?

человек разрешил доступ, и чуть ниже запретил... (причём не только себе, а и всей "сетке")


вопрос только в том, зачем ему это надо?

вопрос в том что я не хочу чтоб кроме етого IP адреса 192.168.11.69 никакой IP в етой сетке не смог исползвоват ничего.
Ранше я всегда так конф делал и все было нормально.
я правила писал некоторым IP адресам в сетке 192.168.11. и в сетке 192.168.192.
и почти в самом внизу запрешал все вот так ipfw add 30000 deny ip from 192.168.11.0/24 to any via em0
ipfw add 30000 deny ip from 192.168.192.0/24 to any via em0
я уже 3 или 4 раз настраивал firewall так все работало.Только етот раз впервые не получилос
Я во многих статях прочитал что firewall работает по чыфровому порядку сверху вниз
Тоист если я в одной сетке по чыфровому порядку первым разрешу допустим в чыфре 150 какойто IP то внизу в чыфре 30000 запрешаю всю сетку ето не должно мешат той IP которому я разрешил в 150.
Я даже наоборот проверил всеравно не получилось.
Ето у меня первый раз так ранше все получалось.
Спосибо вам за помош

помойму это можно сделать одной командой.

дай только вспомню какой...

и какой же ?

ага... то похоже относится к Pf

там можно просто поставить "!" перед адресом. ну да ладно...

а подробно можете писат и обяснять ?

во Фре есть 3 разных фаервола.

есть ipfw родной FreeBSD

есть pf (пакетный фильтр) импортирован из OpenBSD
мощная штука, кстати....

а есть еще ipf вроде как штуковина из NetBSD

в самом IPFW незнайте как я могу делат?

не.... я сам новичек, так что...

просто учусь вместе с вами... смотрю на проблемы пытаемься совместными усилиями решить...

твоя ситуация не понятная...

я сам както найду.
Все равно спосибо вам болшое за помошь

cail
ipfw show - показывает сколько байт относится к каждому правилу. Перед этим можно сделать ipfw flush - обнулит всю статистику.
Судя по объяснению - всё правильно. Запости вывод ipfw show.

вот ответ ipfw show
00050 63942 27887760 divert 8668 ip4 from any to any via em1
00100 18 2842 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
65000 171339 62582732 allow ip from any to any
65535 0 0 deny ip from any to any

А где:
ipfw add 70 allow ip from 192.168.11.69 to any via em0 пропускаю свой IP через NAT »
ipfw add 30000 deny ip from 192.168.11.0/24 to any via em0 »