Здравствуйте!
Очень нужна Ваша помощь, за все дергают чтобы срочно заработало.
Есть сервер который раздает интернет в локалку 192.168.0.0/24.
eth1 - 192.168.0.100 - сетевуха сервера в локалку.
eth2 - вненший IP - на провайдера

доступ в интернет настроен через nat
как
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth2 -j SNAT --to-source внешний IP
Это работает отлично.

А теперь нужно дать доступ в эту локалку и обратно компам из сети 192.168.1.0/24, которые подключены через еще одну сетевуху eth0
eth0 - 192.168.1.100
с сервера пингуются обе сети, а между собой нифига.
Роутинг включен
echo "1" > /proc/sys/net/ipv4/ip_forward

таблица route
[root@ns rc.d]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
195.239.228.236 *               255.255.255.252 U     0      0        0 eth2
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         Abramov-lgw.Tim 0.0.0.0         UG    0      0        0 eth2

ядро 2.4.18-5asp

Понимаю что что-то совсем простое, но никак не дойдет.

• маршрутизатор на линуксе с 2мя картами,MoHaX, 09:52 , 21-Дек-06
• маршрутизатор на линуксе с 2мя картами,C41p, 09:53 , 21-Дек-06
• маршрутизатор на линуксе с 2мя картами,MoHaX, 09:53 , 21-Дек-06
• маршрутизатор на линуксе с 2мя картами,Vii, 10:50 , 21-Дек-06
  • маршрутизатор на линуксе с 2мя картами,ilyal, 16:57 , 21-Дек-06
    • маршрутизатор на линуксе с 2мя картами,Alex_hha, 11:01 , 23-Дек-06
      • маршрутизатор на линуксе с 2мя картами,ilyal, 11:28 , 23-Дек-06
        • маршрутизатор на линуксе с 2мя картами,Alex_hha, 12:39 , 23-Дек-06
          • маршрутизатор на линуксе с 2мя картами,ilyal, 10:41 , 24-Дек-06
            • маршрутизатор на линуксе с 2мя картами,Alex_hha, 10:38 , 25-Дек-06
              • маршрутизатор на линуксе с 2мя картами,ilyal, 15:20 , 25-Дек-06
                • маршрутизатор на линуксе с 2мя картами,Alex_hha, 17:36 , 25-Дек-06
                  • маршрутизатор на линуксе с 2мя картами,ilyal, 09:35 , 26-Дек-06

На компьютерах в сети 192.168.1.0/24 что стоит шлюзом по умолчанию?

>Здравствуйте!
>Очень нужна Ваша помощь, за все дергают чтобы срочно заработало.
>Есть сервер который раздает интернет в локалку 192.168.0.0/24.
>eth1 - 192.168.0.100 - сетевуха сервера в локалку.
>eth2 - вненший IP - на провайдера
>
>доступ в интернет настроен через nat
>как
>iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth2 -j SNAT --to-source
>внешний IP
>Это работает отлично.
>
>А теперь нужно дать доступ в эту локалку и обратно компам из
>сети 192.168.1.0/24, которые подключены через еще одну сетевуху eth0
>eth0 - 192.168.1.100
>с сервера пингуются обе сети, а между собой нифига.
>Роутинг включен
>echo "1" > /proc/sys/net/ipv4/ip_forward
>
>таблица route
>[root@ns rc.d]# route
>Kernel IP routing table
>Destination     Gateway      
>  Genmask        
>Flags Metric Ref    Use Iface
>195.239.228.236 *          
>    255.255.255.252 U     0
>     0      
>  0 eth2
>192.168.1.0     *      
>        255.255.255.0  
>U     0      
>0        0 eth0
>192.168.0.0     *      
>        255.255.255.0  
>U     0      
>0        0 eth1
>127.0.0.0       *    
>          255.0.0.0
>      U    
>0      0    
>   0 lo
>default         Abramov-lgw.Tim 0.0.0.0  
>       UG    
>0      0    
>   0 eth2
>
>ядро 2.4.18-5asp
>
>Понимаю что что-то совсем простое, но никак не дойдет.

ip route тебе поможет:)

Ну и с фаерволлом чего?

Должно сработать:
iptables -A POSTROUTING -s 192.168.0.0/24 -d 192.168.1.0/24 -j MASQUERADE
iptables -A POSTROUTING -s 192.168.1.0/24 -d 192.168.0.0/24 -j MASQUERADE
А вообще читать маны надо

>Должно сработать:
>iptables -A POSTROUTING -s 192.168.0.0/24 -d 192.168.1.0/24 -j MASQUERADE
>iptables -A POSTROUTING -s 192.168.1.0/24 -d 192.168.0.0/24 -j MASQUERADE
>А вообще читать маны надо

Сделал как подсказал - заработало, добавив -t nat, но мне кажется, что это как-то извращенно.
Пробовал прописать
iptables -A FORWARD -p ALL -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -p ALL -i eth1 -o eth0 -j ACCEPT
- не работает
файл файрвола такой -

#block IMAP from outside
iptables -A INPUT -p tcp -s 0/0 -i eth2  --dport 143 -j REJECT

#block ftp from outside
iptables -A INPUT -p tcp -s 0/0 -i eth2  --dport 20:21 -j REJECT

#block mysql from outside
iptables -A INPUT -p tcp -s 0/0 -i eth2  --dport 3306 -j REJECT

> А теперь нужно дать доступ в эту локалку и обратно компам из сети 192.168.1.0/24, которые > подключены через еще одну сетевуху eth0
> eth0 - 192.168.1.100
что значит доступ??? Открыть полный доступ или конкретные сервисы/службы?

192.168.0.0/24 должна выходить в инет?

>> А теперь нужно дать доступ в эту локалку и обратно компам из сети 192.168.1.0/24, которые > подключены через еще одну сетевуху eth0
>> eth0 - 192.168.1.100
>что значит доступ??? Открыть полный доступ или конкретные сервисы/службы?
>
>192.168.0.0/24 должна выходить в инет?

192.168.0.0/24 выходит давно. Теперь надо 1.0. Она выходит, но пакеты из одной в другую тоже по правилам должны ходить, например из 1.0 внутрь сети только 0.20 и порт 3389

>>> А теперь нужно дать доступ в эту локалку и обратно компам из сети 192.168.1.0/24, которые > подключены через еще одну сетевуху eth0
>>> eth0 - 192.168.1.100
>>что значит доступ??? Открыть полный доступ или конкретные сервисы/службы?
>>
>>192.168.0.0/24 должна выходить в инет?
>
>192.168.0.0/24 выходит давно. Теперь надо 1.0.
я очепятался имел ввиду 1.0

> Она выходит, но пакеты из одной
>в другую тоже по правилам должны ходить, например из 1.0 внутрь
>сети только 0.20 и порт 3389
не совсем понял записи. Итак надо разрешить прохождение 3389 (рдп) из сети 1.0/24 в 0.0/24 и наоборот?

>>>> А теперь нужно дать доступ в эту локалку и обратно компам из сети 192.168.1.0/24, которые > подключены через еще одну сетевуху eth0
>>>> eth0 - 192.168.1.100
>>>что значит доступ??? Открыть полный доступ или конкретные сервисы/службы?
>>>
>>>192.168.0.0/24 должна выходить в инет?
>>
>>192.168.0.0/24 выходит давно. Теперь надо 1.0.
>я очепятался имел ввиду 1.0
>
>> Она выходит, но пакеты из одной
>>в другую тоже по правилам должны ходить, например из 1.0 внутрь
>>сети только 0.20 и порт 3389
>не совсем понял записи. Итак надо разрешить прохождение 3389 (рдп) из сети
>1.0/24 в 0.0/24 и наоборот?

3389 из 0.0 в 1.0

>>>>> А теперь нужно дать доступ в эту локалку и обратно компам из сети 192.168.1.0/24, которые > подключены через еще одну сетевуху eth0
>>>>> eth0 - 192.168.1.100
>>>>что значит доступ??? Открыть полный доступ или конкретные сервисы/службы?
>>>>
>>>>192.168.0.0/24 должна выходить в инет?
>>>
>>>192.168.0.0/24 выходит давно. Теперь надо 1.0.
>>я очепятался имел ввиду 1.0
>>
>>> Она выходит, но пакеты из одной
>>>в другую тоже по правилам должны ходить, например из 1.0 внутрь
>>>сети только 0.20 и порт 3389
>>не совсем понял записи. Итак надо разрешить прохождение 3389 (рдп) из сети
>>1.0/24 в 0.0/24 и наоборот?
>
>
>3389 из 0.0 в 1.0
Ну и в чем проблема??? Специально не поленился и проверил твою задачу. И так
# ipconfig

Настройка протокола IP для Windows

eth0 - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        IP-адрес  . . . . . . . . . . . . : 192.168.0.2
        Маска подсети . . . . . . . . . . : 255.255.255.0
        Основной шлюз . . . . . . . . . . : 192.168.0.1

# ping 192.168.1.2

Обмен пакетами с 192.168.1.2 по 32 байт:

Ответ от 192.168.1.2: число байт=32 время=2мс TTL=127
Ответ от 192.168.1.2: число байт=32 время=2мс TTL=127
Ответ от 192.168.1.2: число байт=32 время=2мс TTL=127
Ответ от 192.168.1.2: число байт=32 время=2мс TTL=127

Статистика Ping для 192.168.1.2:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 2мсек, Максимальное = 2 мсек, Среднее = 2 мсек

# ipconfig

Настройка протокола IP для Windows

eth0 - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        IP-адрес  . . . . . . . . . . . . : 192.168.1.2
        Маска подсети . . . . . . . . . . : 255.255.255.0
        Основной шлюз . . . . . . . . . . : 192.168.1.1

# ping 192.168.0.2

Обмен пакетами с 192.168.0.2 по 32 байт:

Ответ от 192.168.0.2: число байт=32 время=3мс TTL=127
Ответ от 192.168.0.2: число байт=32 время=2мс TTL=127
Ответ от 192.168.0.2: число байт=32 время=3мс TTL=127
Ответ от 192.168.0.2: число байт=32 время=1мс TTL=127

Статистика Ping для 192.168.0.2:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 1мсек, Максимальное = 3 мсек, Среднее = 2 мсек

Linux. CentOS-4.4.

eth0      
inet addr:192.168.0.1  
Bcast:192.168.0.255  
Mask:255.255.255.0

eth1      
inet addr:192.168.1.1  
Bcast:192.168.1.255  
Mask:255.255.255.0

eth2      
inet addr:82.207.89.100
Bcast:82.207.89.103  
Mask:255.255.255.252

// NAT
# iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth2 -j SNAT --to-source 82.207.89.100
# iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth2 -j SNAT --to-source 82.207.89.100

//RDP 192.168.1.0/24 -> 192.168.0.0/24
# iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
# iptables -t filter -A FORWARD -i eth0 -o eth1 -p tcp -m tcp --sport 3389 -j ACCEPT

//RDP 192.168.0.0/24 -> 192.168.1.0/24
# iptables -t filter -A FORWARD -i eth0 -o eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
# iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp -m tcp --sport 3389 -j ACCEPT

Политика по умолчанию в цепочке FORWARD - DROP.

Все спасибо! Проблема решена, все работает!

>Все спасибо! Проблема решена, все работает!
Ну дак в чем проблема то была?

>>Все спасибо! Проблема решена, все работает!
>Ну дак в чем проблема то была?

Стыдно признаться :)
из-за желания сохоранить старый интернет канал , шлюз по умолчанию в 1.0 сети смотрел на тот роутер. Офисы удалены друг от друга по городу, по этому нельзя было терять связь. Доехал до него с целью проверить все варианты и после смены шлюза все полетело.