https://www.opennet.me/openforum/vsluhforumID1/83333.html Всем привет. Подскажите как реализовать такое: <br>сейчас есть сеть и маршрутизатор <br>на нем две сетевые, одна смотрит в нет, вторая в сеть. <br>интернет раздается по ВПН, клиенту выдается серый ИП. <br>зона серых ИП натиться на интерфейс который смотрит в нет:<br>iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j SNAT --to-source хх.хх.хх.210<br>по умолчанию iptables -P FORWARD DROP <br>кого выпускаем, создаем правило на вход и выход<br> <br>в итоге имеем: <br>eth0 xx.xxx.xx.210 маска 255.255.255.240 шлюз хх.ххх.хх.209 <br>eth1 хх.хх.хх.1 маска 255.255.255.0 шлюза хх.хх.хх.254 <br><br>провайдер выделил IP xx.xxx.xx.210-222 маска 255.255.255.240 <br><br>как сделать, что бы клиент подключившись по ВПН и получив ИП (xx.xxx.xx.211/255.255.255.255) выходил в нет ?<br> https://www.opennet.me/openforum/vsluhforumID1/83333.html#11 Mon, 15 Dec 2008 17:53:00 GMT &gt;в качестве шлюза что отдаётся клиенту? <br><br>на стороне клиента? или на сервере где посмотреть?<br> https://www.opennet.me/openforum/vsluhforumID1/83333.html#10 Sun, 14 Dec 2008 22:11:47 GMT в качестве шлюза что отдаётся клиенту?<br> https://www.opennet.me/openforum/vsluhforumID1/83333.html#9 Sun, 14 Dec 2008 14:32:12 GMT route<br><br>xx.xx.xx.211 * 255.255.255.255 UH 0 0 0 ppp1<br>xx.xx.xx.208 * 255.255.255.240 U 0 0 0 eth0<br>10.10.10.0 * 255.255.255.0 U 10 0 0 eth1<br>10.10.0.0 10.10.10.254 255.255.0.0 UG 0 0 0 eth1<br>169.254.0.0 * 255.255.0.0 U 0 0 0 eth0<br>169.254.0.0 * 255.255.0.0 U 10 0 0 eth1<br>default xx.xx.xx.2090.0.0.0 UG 10 0 0 eth0<br> https://www.opennet.me/openforum/vsluhforumID1/83333.html#8 Sun, 14 Dec 2008 14:10:08 GMT при этом даже интерфейс eth0 не пингуется, если подключится (по впн) с реальным ип.<br> https://www.opennet.me/openforum/vsluhforumID1/83333.html#7 Sun, 14 Dec 2008 13:15:54 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;iptables -A FORWARD -s хх.хх.хх.211 -j ACCEPT <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;так тоже пробовал, не идет. <br>&gt;&gt;&gt;Ходит если разрешить всю подсеть.. <br>&gt;&gt;&gt;iptables -A FORWARD -i eth0 -o ppp+ -d хх.хх.хх.210/255.255.255.240 -j ACCEPT <br>&gt;&gt;<br>&gt;&gt;если так разрешить, доступ почему то получает только адрес 217 <br>&gt;<br>&gt;странно что 217 получет доступ, либо никто, либо все <br>&gt;какие параметры получают клиенты по ВПН и вывод ifconfig в студию <br><br>ifconfig<br><br>eth0 Link encap:Ethernet HWaddr 00:E0:4D:01:ED:3D <br> inet addr:xx.xx.137.210 Bcast:xx.xx.137.223 Mask:255.255.255.240<br> inet6 addr: fe80::2e0:4dff:fe01:ed3d/64 Scope:Link<br> UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1<br> RX packets:60301864 errors:0 dropped:0 overruns:0 frame:0<br> TX packets:51696407 errors:0 dropped:0 overruns:0 carrier:0<br> collisions:0 txqueuelen:1000 <br> RX bytes:1578925684 (1.4 GiB) TX bytes:2019490841 (1.8 GiB)<br> Interrupt:20 Base address:0x2800 <br><br>eth1 Lin https://www.opennet.me/openforum/vsluhforumID1/83333.html#6 Sun, 14 Dec 2008 06:20:35 GMT &gt;&gt;&gt;А почему на каждый ип не сделать так: <br>&gt;&gt;&gt;iptables -A FORWARD -d хх.хх.хх.211 -j ACCEPT <br>&gt;&gt;&gt;iptables -A FORWARD -s хх.хх.хх.211 -j ACCEPT <br>&gt;&gt;<br>&gt;&gt;так тоже пробовал, не идет. <br>&gt;&gt;Ходит если разрешить всю подсеть.. <br>&gt;&gt;iptables -A FORWARD -i eth0 -o ppp+ -d хх.хх.хх.210/255.255.255.240 -j ACCEPT <br>&gt;<br>&gt;если так разрешить, доступ почему то получает только адрес 217 <br><br>странно что 217 получет доступ, либо никто, либо все<br>какие параметры получают клиенты по ВПН и вывод ifconfig в студию<br> https://www.opennet.me/openforum/vsluhforumID1/83333.html#5 Sat, 13 Dec 2008 11:43:20 GMT &gt;&gt;А почему на каждый ип не сделать так: <br>&gt;&gt;iptables -A FORWARD -d хх.хх.хх.211 -j ACCEPT <br>&gt;&gt;iptables -A FORWARD -s хх.хх.хх.211 -j ACCEPT <br>&gt;<br>&gt;так тоже пробовал, не идет. <br>&gt;Ходит если разрешить всю подсеть.. <br>&gt;iptables -A FORWARD -i eth0 -o ppp+ -d хх.хх.хх.210/255.255.255.240 -j ACCEPT <br><br>если так разрешить, доступ почему то получает только адрес 217<br><br> https://www.opennet.me/openforum/vsluhforumID1/83333.html#4 Sat, 13 Dec 2008 10:25:23 GMT &gt;А почему на каждый ип не сделать так: <br>&gt;iptables -A FORWARD -d хх.хх.хх.211 -j ACCEPT <br>&gt;iptables -A FORWARD -s хх.хх.хх.211 -j ACCEPT <br><br>так тоже пробовал, не идет.<br>Ходит если разрешить всю подсеть..<br>iptables -A FORWARD -i eth0 -o ppp+ -d хх.хх.хх.210/255.255.255.240 -j ACCEPT<br><br> https://www.opennet.me/openforum/vsluhforumID1/83333.html#3 Sat, 13 Dec 2008 09:55:40 GMT &gt;[оверквотинг удален]<br>&gt;&gt;доступ в наружу и из получает только адрес хх.хх.хх.217 остальные 211-216 не <br>&gt;&gt;получают прохода... <br>&gt;<br>&gt;добавив такое правило мы можем разрешить всем ходить в инет с 210 <br>&gt;по 222 если поставить обраное правило из ppp+ в eth0 <br>&gt;<br>&gt;но как разрешать только определенным ип доступ? <br>&gt;добавляя <br>&gt;iptables -A FORWARD -d хх.хх.хх..211/255.255.255.255 -j ACCEPT <br>&gt;и обратное правило, народ не получает доступа в инет <br><br>А почему на каждый ип не сделать так:<br>iptables -A FORWARD -d хх.хх.хх.211 -j ACCEPT <br>iptables -A FORWARD -s хх.хх.хх.211 -j ACCEPT <br>