ну, ситуация стандартная -
ISP - Киска SOHO - firewall(FreeBSD) - локалка(yyy.yyy.yyy.yyy:24)
                                          |
                                      сервак WWW(yyy.yyy.yyy.snx)
ISP выделил пул адресов xxx.xxx.xxx.xxx:30, один занят на подключение Киски.
для того чтобы сервак WWW был виден из инета:
на внешнем интерфейсе firewall`а добавлен alias из пула = xxx.xxx.xxx.abc

natd делает redirect_address yyy.yyy.yyy.snx xxx.xxx.xxx.abc

#правила ipfw

divert natd ip from any to xxx.xxx.xxx.abc recv [внешний_iface]
allow tcp from any to yyy.yyy.yyy.snx 80,443
allow tcp from yyy.yyy.yyy.snx to any

это работает, сервак из инета виден.
вопрос вот в чем: может в этом наборе есть какая-то уязвимость? или логическая ошибка? меня смущает что пришлось давать внешней сетевухе firewallа, соединенной с Киской, инет-адрес сервака.

ps:
да, как сделать чтобы сервак был виден из локалки через инет? счас, я не могу посмотреть на него даже если так

divert natd ip from any to xxx.xxx.xxx.abc

т.е. на пинги по xxx.xxx.xxx.abc он отвечает, но это срабатывает редирект ICMP на firewallе, а браузером по http не вижу.

pps:
firewall работает роутером м/у 2мя подсетками локалки на внутреннем iface, но это, вроде, ничего не значит

• Подскажите плз, правильно ли сделал вывод сервака WWW в инет, falbir, 14:52 , 13-Мрт-03, (1)