Топология сети такова:

1: 192.168.0.2  (http сервер)
2: 192.168.0.xxx/255.255.255.0  (локалка)
3: 192.168.2.1-254/255.255.255.0  (PPPoE сеть)
4: 192.168.0.1 ip адрес рутера в сети (на eth1)
5: 85.xxx.xxx.65 1-й внешний ip на роутере (на eth0)
6: 85.xxx.xxx.69 2-й внешний ip на роутере (на алиасе eth0:0)

Нужно сервер(192.168.0.2) перебросить в сеть на адрес 85.xxx.xxx.69 (eth0:0 алиас).
А PPPoE клиенты должны ходить через 82.xxx.xxx.65 (eth0).

У каждого внешнего ip cвой шлюз например:
ip 82.xxx.xxx.65
gw 82.xxx.xxx.66
mask 255.255.255.252

Делаю так:
echo "1" > /proc/sys/net/ipv4/ip_forward

# специально для теста все в ACCEPT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

# перебрасываю машину
ifconfig eth0:0 85.xxx.xxx.69 netmask 255.255.255.252
route add 85.xxx.xxx.69 gw 85.xxx.xxx.70 netmask 0.0.0.0 metric 1 dev eth0:0
iptables -t nat -A PREROUTING -p tcp -d 85.xxx.xxx.69 -j DNAT --to-destination 192.168.0.2
iptables -A FORWARD -i eth0 -d 192.168.0.2 -j ACCEPT

# для PPPoE нат и маршрут по умолчанию
route add 85.xxx.xxx.65 gw 85.xxx.xxx.66
iptables -t nat -A POSTROUTING -s 192.168.2.0/255.255.255.0 -d 0/0 -o eth0 -j SNAT --to-source 85.xxx.xxx.65

Данная поделка не работает, где бага ?
Если я перебросил машину на реальный ip то при сканировании этого ip открытые на этой машине порты должны быть видны ?

• Настройка маршрутизации (linux + iptables),suslic, 14:09 , 30-Авг-07
  • Настройка маршрутизации (linux + iptables),vugluskr86, 14:13 , 30-Авг-07
    • Настройка маршрутизации (linux + iptables),Oyyo, 14:28 , 30-Авг-07
      • Настройка маршрутизации (linux + iptables),vugluskr86, 14:35 , 30-Авг-07
        • Настройка маршрутизации (linux + iptables),Oyyo, 15:38 , 30-Авг-07
          • Настройка маршрутизации (linux + iptables),Den, 15:54 , 30-Авг-07
• Настройка маршрутизации (linux + iptables),tux2002, 08:15 , 03-Сен-07

>[оверквотинг удален]
>iptables -A FORWARD -i eth0 -d 192.168.0.2 -j ACCEPT
>
># для PPPoE нат и маршрут по умолчанию
>route add 85.xxx.xxx.65 gw 85.xxx.xxx.66
>iptables -t nat -A POSTROUTING -s 192.168.2.0/255.255.255.0 -d 0/0 -o eth0 -j
>SNAT --to-source 85.xxx.xxx.65
>
>Данная поделка не работает, где бага ?
>Если я перебросил машину на реальный ip то при сканировании этого ip
>открытые на этой машине порты должны быть видны ?

если сеть  192.168.2.0/255.255.255.0 ето РРОЕ и девайсы ррр0-ррр1-ррр2 ...
то правило  iptables -t nat -A POSTROUTING -s 192.168.2.0/255.255.255.0 -d 0/0 -o eth0 -j SNAT --to-source 85.xxx.xxx.65
неправильное
правильное
iptables -t nat -A POSTROUTING -s 192.168.2.1-254 -j SNAT --to-source 85.xxx.xxx.65

А как как проверить перекинулась ли машина на реальный ip. При сканирование будут видны открытые на ней порты ?

>А как как проверить перекинулась ли машина на реальный ip. При сканирование
>будут видны открытые на ней порты ?

что значит перекинулись? это как?
при каком сканировании, что сканирем?

"админ" - vugluskr86 не правильно понимает работу РРРоЕ

реальныйе адреса выдаются по РРРоЕ, при поднятии рррХ интерфейса дефолтны гатевей заменяется автоматически (так должно быть)

>>А как как проверить перекинулась ли машина на реальный ip. При сканирование
>>будут видны открытые на ней порты ?
>
>что значит перекинулись? это как?
>при каком сканировании, что сканирем?
>
>"админ" - vugluskr86 не правильно понимает работу РРРоЕ
>
>реальныйе адреса выдаются по РРРоЕ, при поднятии рррХ интерфейса дефолтны гатевей заменяется
>автоматически (так должно быть)

Причем здесь PPPoE :)
У мну машина из сети садится на внешний ip, никакого pppoe на ней не подключено. Прочитай пост сначала.

может я чего не догнал

>Причем здесь PPPoE :)
>У мну машина из сети садится на внешний ip, никакого pppoe на
>ней не подключено. Прочитай пост сначала.

"машина из сети" - т.е. из локалки которая через тебя ходит в инет?
если так, растолуй выражение "садится на внешний ip"

и давай с начала
1,2 и 4 понятно
>1: 192.168.0.2  (http сервер)
>2: 192.168.0.xxx/255.255.255.0  (локалка)
>4: 192.168.0.1 ip адрес рутера в сети (на eth1)

теперь как понимаю это два реальных ИП выданные провайдером
>5: 85.xxx.xxx.65 1-й внешний ip на роутере (на eth0)
>6: 85.xxx.xxx.69 2-й внешний ip на роутере (на алиасе eth0:0)

вот это теперь совсем не понятно, с какой стороны эта сеть, т.е. через какой интерфейс ты в неё попадаешь, или может ты раздаёшь ррр соединение?
>3: 192.168.2.1-254/255.255.255.0  (PPPoE сеть)

разъясни следующее
>У каждого внешнего ip cвой шлюз например:
>ip 82.xxx.xxx.65
>gw 82.xxx.xxx.66
>mask 255.255.255.252

как два gw могут уживаться в одной таблице?

># перебрасываю машину

зачем это, eth0:0 должен подниматся при старте машины, т.е. при загрузке ОС
>ifconfig eth0:0 85.xxx.xxx.69 netmask 255.255.255.252

смотрим здесь, ИП адрес 85.xxx.xxx.69 искать за машиной с ИП 85.xxx.xxx.70
я незнаю к чему такое правило, но намой взгляд оно не имеет смысла
>route add 85.xxx.xxx.69 gw 85.xxx.xxx.70 netmask 0.0.0.0 metric 1 dev eth0:0

здесь нет вопросов, только пользователи локалки 192.168.0.0/24 должны обращатся к ВЕБу http://192.168.0.2 , в противном случае они не получат ответа
>iptables -t nat -A PREROUTING -p tcp -d 85.xxx.xxx.69 -j DNAT --to-destination
>192.168.0.2

если политика ACCEPT то это правило как-бы лишнее, если DROP то его мало, нужно разрешить ещё ответы
>iptables -A FORWARD -i eth0 -d 192.168.0.2 -j ACCEPT
>
># для PPPoE нат и маршрут по умолчанию

этот маршрут тоже ...
>route add 85.xxx.xxx.65 gw 85.xxx.xxx.66

это обычный НАТ, без коментариев
>iptables -t nat -A POSTROUTING -s 192.168.2.0/255.255.255.0 -d 0/0 -o eth0 -j
>SNAT --to-source 85.xxx.xxx.65
>

вот только опять напомню, непонял каким боком сюда попадает подсеть 192.168.2.0

если нужно выбросить машину за нат, то

http://www.opennet.me/tips/info/466.shtml

Iptables Tutorial 1.1.19

Автор: Oskar Andreasson
     blueflux@koffein.net
      Copyright (C) 2001-2003 Oskar Andreasson
    

Перевод: Андрей Киселев
     kis_an@mail.ru

Ссылки нет но найдёте. Очень полезно для ознакомления