FreeBSD + SG + ipfw(default allow)

[LeiDruid 0]

есть набор следующих правил ipfw:

 

#!/bin/sh

fwcmd="/sbin/ipfw"

natdcmd="/sbin/natd"

int_if="rl0"

ext_if="xl0"

 

${fwcmd} -f flush

 

${natdcmd} -s -m -u -a 192.168.10.254

 

${fwcmd} add 10 allow icmp from any to any

 

${fwcmd} add 304 deny ip from any to 192.168.0.0/16 out via ${ext_if}

${fwcmd} add 305 deny ip from any to 10.0.0.0/16 out via ${ext_if}

${fwcmd} add 306 deny ip from any to 172.16.0.0/12 out via ${ext_if}

 

${fwcmd} add 308 allow udp from any to 192.168.0.254 8888 via ${int_if}

${fwcmd} add 309 allow udp from 192.168.0.254 to any via ${int_if}

 

${fwcmd} add 310 allow tcp from 192.168.0.253 to 192.168.10.1 22 via ${int_if}

 

${fwcmd} add 320 deny log ip from 192.168.0.0/24 to 192.168.0.254 via ${int_if}

${fwcmd} add 50024 divert natd all from any to any via ${ext_if}

 

${fwcmd} add 50029 allow tcp from any to any out via ${ext_if} setup

${fwcmd} add 50030 allow tcp from any to any via ${ext_if} established

 

${fwcmd} add 50031 allow udp from any to any out via ${ext_if}

${fwcmd} add 50032 allow udp from any 53 to any in via ${ext_if}

 

${fwcmd} add 50033 allow tcp from any to 192.168.10.254 22 via ${ext_if}

 

$fwcmd add 65534 deny log ip from any to any

 

Так вот:

При подключении клиента на биллинг добавляется правило:

${fwcmd} add *диапазон в районе 23000* allow ip from $ip to any via ${int_if}

(ip - ip клиента)

При сборке ядра было указано дефолтовое значение allow для ipfw

 

Проблема: при авторизации на сервере (читай: при добавлении правила, указанного выше), клиент не получает свой честно положенный инет.

Удаление правила 65534 облегчения не приносит: клиенты получают инет даже без авторизации.

 

Help plz

[XoRe 0]

Покажи, что пишется в лог на этом правиле

$fwcmd add 65534 deny log ip from any to any

[Max 0]

смотреть в /var/log/security