ipfw глюк?

[Nikolai]

Вопрос к талантам которые давно работают с Фришкой, стоит фришка 5.4 UTM 4.0? без всяких наворотов типа радиусов и ВПН, встала нормально, вроде всё подправил как книжка пишет и умные люди поправляют.
ПРОБлема: при включении юзеру интернета , правила дописываются в фаерволе, а интернета НЕТу, а пакеты проходят, такое впечатление что проблемма в НАТе, 3 день бьюсь, и не могу побороть, если прописать(any to any) статичные правила, тогда ИНЕТ работает.
---------------------------------------
00200 73 4505 divert 8668 ip from any to any out via rl0
00205 72 9032 divert 8668 ip from any to xxx.xxx.xxx.xxx in via rl0
00210 72 9032 allow udp from any 53 to any
00220 73 4505 allow udp from any to any dst-port 53
00270 0 0 allow ip from 192.168.99.0/24 to 192.168.99.11 dst-port 443,80 via rl1
00280 0 0 allow ip from 192.168.99.11 443,80 to 192.168.99.0/24 via rl1
00305 0 0 allow icmp from any to any
01001 0 0 allow ip from 192.168.99.30 to any
01001 0 0 allow ip from any to 192.168.99.30
01002 0 0 allow ip from 192.168.99.2 to any
01002 0 0 allow ip from any to 192.168.99.2
01004 0 0 allow ip from 192.168.99.6 to any
01004 0 0 allow ip from any to 192.168.99.6
65535 45 2858 deny ip from any to any
--------------------------------------------------------------
Перерыл весь форум, не встретил ни чего похожева у других, не ужели такая проблемма только у меня............?????
Что могут посоветовать умные люди, буду очень признателен.

[Nikolai]

Видать нету спецов,да и не надо........

[Skylord]

Да просто неинтересно даже читать полностью такие вопросы, ответы на которых можно получить в мане. Тем более, что форум тут по биллингу, а не по ipfw. Попробуй покурить opennet.ru. Там, кстати, и русская (правда старенькая) версия мана на ipfw есть.

[Krill A. Fomin]

Что значит покеты проходят?

...
00200 73 4505 divert 8668 ip from any to any out via rl0
00205 72 9032 divert 8668 ip from any to xxx.xxx.xxx.xxx in via rl0

Это вообще что такое?

00210 72 9032 allow udp from any 53 to any
00220 73 4505 allow udp from any to any dst-port 53

А Tcp не надо что ли?

00305 0 0 allow icmp from any to any

*сдох*
Прикинь ты отключил юзеру инет, а он тебе как напингает несколько гигов...


/sbin/ipfw add 1 divert natd all from any to any via rl0(обязательно должно стоять раньше других правил)

/sbin/ipfw add 10 allow ip from me to any
/sbin/ipfw add 10 allow ip from any to me
/sbin/ipfw add 11 allow ip from any to 127.0.0.0/8
надеюсь тут вопросов возникнуть не должно