https://www.opennet.me/openforum/vsluhforumID10/4947.html Добрый день! Есть следующая схема сети:<br><br>192.168.1.0/24------ISP------INternet<br> &#124;<br> 1&#124;<br> Gateway-----192.168.0.0/24<br> 2<br><br>1. eth1: 10.0.0.2/30 - Выход в интернет<br> eth1:1 192.168.1.15/24 - Объединенная локальная подсеть<br>2 eth0 192.168.0.15/24 - Внутренняя подсеть<br><br><br>Задачи:<br>1. Дать интернет обоим подсетям<br>2. Настроить маршрутизацию из 192.168.0.0/24 в 192.168.1.0/24 и обратно<br><br>iptables<br><br>#!/bin/sh<br><br>iptables -F<br>iptables -X<br>iptables -t nat -F<br>iptables -t nat -X<br>iptables -t mangle -F<br>iptables -t mangle -X<br>iptables -P INPUT DROP<br>iptables -P FORWARD DROP<br>iptables -P OUTPUT DROP<br><br>echo 1 &gt; /proc/sys/net/ipv4/ip_forward<br><br>iptables -A INPUT -i lo -j ACCEPT<br><br>iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT<br>iptables -A INPUT -m state --state NEW -i ! eth1 -j ACCEPT<br>iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT<br> https://www.opennet.me/openforum/vsluhforumID10/4947.html#9 Mon, 03 Oct 2011 20:09:22 GMT &gt;[оверквотинг удален]<br>&gt; iptables -A INPUT -m state --state NEW -i ! eth1 -j ACCEPT <br>&gt; iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j <br>&gt; ACCEPT <br>&gt; iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT <br>&gt; iptables -t nat -A POSTROUTING -o eth1 -d ! 192.168.1.0/24 -j MASQUERADE <br>&gt; iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.0.0/24 -p tcp <br>&gt; -m multiport --dport 80,8080 -j DNAT -- to 192.168.0.15:3128 <br>&gt; iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.1.0/24 -p tcp <br>&gt; -m multiport --dport 80,8080 -j DNAT -- to 192.168.1.15:3128 <br>&gt; При таком конфиге работает интернет только в подсети 192.168.0.0/24 <br><br>FORWARD входящих и исходящих через eth1 разрешите<br> https://www.opennet.me/openforum/vsluhforumID10/4947.html#8 Mon, 03 Oct 2011 20:03:14 GMT &gt;&gt;iptables -t nat -A POSTROUTING -o eth1 -d ! 192.168.1.0/24 -j MASQUERADE <br>&gt; !192.168.1.0/24 --узазывает на то что для всех КРОМЕ даной подсети, <br>&gt; потому логично что у тебя нат работает только в 192.168.0.0/24 <br><br>это было бы так если вместо -d было бы -s<br> https://www.opennet.me/openforum/vsluhforumID10/4947.html#7 Mon, 03 Oct 2011 09:35:39 GMT &gt; Так и сделал пока. Но не нравиться хотелось бы такую топологию оставить. <br>&gt; Про vlan думал была бы кошка и вопросов бы не было(( <br><br> А чем бюджетные Д-Линки не устраивают? :) Вполне себе решение для VLAN on port based (как вариант). А Линукс уж вланы Бог знает сколько поддерживает. Ну и сетевые, разумееется.<br>ПыСы: прошу прощения за небольшой отход от темы.<br> <br><br><br> https://www.opennet.me/openforum/vsluhforumID10/4947.html#6 Mon, 03 Oct 2011 08:15:15 GMT &gt; нда...<br>&gt; перекинь обе подсети на 1 интерфейс, а инет оставь на втором.<br>&gt; еще есть выариант использовать vlan-ы.. тогда вообще можно обойтись одной сетевой картой... <br>&gt; но тут нужно соотв. умный коммутатор (L2 как минимум) <br><br>Так и сделал пока. Но не нравиться хотелось бы такую топологию оставить. Про vlan думал была бы кошка и вопросов бы не было((<br><br> https://www.opennet.me/openforum/vsluhforumID10/4947.html#5 Mon, 03 Oct 2011 08:12:54 GMT &gt;&gt;iptables -t nat -A POSTROUTING -o eth1 -d ! 192.168.1.0/24 -j MASQUERADE <br>&gt; !192.168.1.0/24 --узазывает на то что для всех КРОМЕ даной подсети, <br>&gt; потому логично что у тебя нат работает только в 192.168.0.0/24 <br><br>нда конфиг не целый, это сделано чтоб 192.168.1.0/24 не ходило через NAT. Думал как завернуть её на eth1. <br> https://www.opennet.me/openforum/vsluhforumID10/4947.html#4 Mon, 03 Oct 2011 08:09:23 GMT &gt;&gt; При таком конфиге работает интернет только в подсети 192.168.0.0/24 <br>&gt; сам конфиг придумал или подсказал кто ?<br><br>от части <br><br><br> https://www.opennet.me/openforum/vsluhforumID10/4947.html#3 Mon, 03 Oct 2011 07:37:04 GMT &gt;iptables -t nat -A POSTROUTING -o eth1 -d ! 192.168.1.0/24 -j MASQUERADE<br><br>!192.168.1.0/24 --узазывает на то что для всех КРОМЕ даной подсети, потому логично что у тебя нат работает только в 192.168.0.0/24<br> https://www.opennet.me/openforum/vsluhforumID10/4947.html#2 Mon, 03 Oct 2011 07:33:33 GMT нда...<br>перекинь обе подсети на 1 интерфейс, а инет оставь на втором.<br>еще есть выариант использовать vlan-ы.. тогда вообще можно обойтись одной сетевой картой... но тут нужно соотв. умный коммутатор (L2 как минимум)<br> https://www.opennet.me/openforum/vsluhforumID10/4947.html#1 Mon, 03 Oct 2011 04:28:57 GMT <br>&gt; При таком конфиге работает интернет только в подсети 192.168.0.0/24 <br><br>сам конфиг придумал или подсказал кто ?<br><br><br>