Проблема такая:
была сеть и выход в интернет через роутер (внешний ррр, внутренний 10.1.1.1), маскарад
щас возникла необходимость сделать так:
лок.сеть (10.0.0.0/8) - старый роутер (10.1.1.1) - новый роутер (10.1.1.3 - внешний IP)сделал на компе с ип 10.1.1.1
#открыл файрвол
iptables -F
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
iptables -t filter -P OUTPUT ACCEPT
# маршрут по умолчанию
route del default gw 0.0.0.0
route add default gw 10.1.1.3
на компе 10.1.1.3
#открыл файрвол
IP=10.1.1.1/8
/sbin/iptables -t filter -A INPUT -s $IP -j ACCEPT
/sbin/iptables -t filter -A FORWARD -s $IP -j ACCEPT
/sbin/iptables -t filter -A FORWARD -d $IP -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -d $IP -j ACCEPT
#NAT
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source "внешний ИП"
eth0 - выход в инет с реальным адресом
с 10.1.1.1
ping 77.88.21.8 (ya.ru) - не работает
что не так ?
>[оверквотинг удален]
>#NAT
>iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source "внешний ИП"
>
>
>eth0 - выход в инет с реальным адресом
>
>
>с 10.1.1.1
>ping 77.88.21.8 (ya.ru) - не работает
>что не так ?может забыли
echo "1" > /proc/sys/net/ipv4/ip_forward
>[оверквотинг удален]
>>
>>eth0 - выход в инет с реальным адресом
>>
>>
>>с 10.1.1.1
>>ping 77.88.21.8 (ya.ru) - не работает
>>что не так ?
>
>может забыли
>echo "1" > /proc/sys/net/ipv4/ip_forwardнет, не забыл
>IP=10.1.1.1/8Это ты сам такое придумал? Уже реши тебе всю сетку 10.0.0.0/8 или одну машину 10.1.1.1, судя по задаче первое. Ну и про роль цепочек INPUT/OUTPUT на досуге прочитай, ибо не фиг пихать в iptables все подряд.
>>IP=10.1.1.1/8
>
>Это ты сам такое придумал? Уже реши тебе всю сетку 10.0.0.0/8 или
>одну машину 10.1.1.1, судя по задаче первое. Ну и про роль
>цепочек INPUT/OUTPUT на досуге прочитай, ибо не фиг пихать в iptables
>все подряд.10.1.1.1/8 = 10.0.0.0/8 умник :(
>>>IP=10.1.1.1/8
>>
>>Это ты сам такое придумал? Уже реши тебе всю сетку 10.0.0.0/8 или
>>одну машину 10.1.1.1, судя по задаче первое. Ну и про роль
>>цепочек INPUT/OUTPUT на досуге прочитай, ибо не фиг пихать в iptables
>>все подряд.
>
>10.1.1.1/8 = 10.0.0.0/8 умник :(новый роутер и локалка соединены только старым роутером? прямого соединения нет?
между старым и новым роутерами используйте подсеть не из 10/8, например 192.168.1.0/24
>[оверквотинг удален]
>>>одну машину 10.1.1.1, судя по задаче первое. Ну и про роль
>>>цепочек INPUT/OUTPUT на досуге прочитай, ибо не фиг пихать в iptables
>>>все подряд.
>>
>>10.1.1.1/8 = 10.0.0.0/8 умник :(
>
>новый роутер и локалка соединены только старым роутером? прямого соединения нет?
>
>между старым и новым роутерами используйте подсеть не из 10/8, например 192.168.1.0/24
>в данный момент такая схема:
лок.сеть (10.0.0.0/8) - старый роутер (10.1.1.1 - ppp соединение)а нада сделать так:
лок.сеть (10.0.0.0/8) - старый роутер (10.1.1.1) - новый роутер (10.1.1.3 - внешний IP)вы предлагаете сделать так:
лок.сеть (10.0.0.0/8) - старый роутер (10.1.1.1 - 192.168.1.1) - новый роутер (192.168.1.2 - внешний IP) ?
>[оверквотинг удален]
>>
>>между старым и новым роутерами используйте подсеть не из 10/8, например 192.168.1.0/24
>>
>
>в данный момент такая схема:
>лок.сеть (10.0.0.0/8) - старый роутер (10.1.1.1 - ppp соединение)
>
>а нада сделать так:
>лок.сеть (10.0.0.0/8) - старый роутер (10.1.1.1) - новый роутер (10.1.1.3 -
>внешний IP)если у старого роутера 2 интерфейса и оба в 10/8 подсети, то трудно будет заставить его отправлять пакеты через нужный :). если 1 интерфейс с 1 IP , то новый роутер начнет отвечать клиентам на прямую , а не через старый
>
>вы предлагаете сделать так:
>лок.сеть (10.0.0.0/8) - старый роутер (10.1.1.1 - 192.168.1.1) - новый роутер
>(192.168.1.2 - внешний IP) ?да, только на новом роутере нужно будет прописать маршрут к 10/8, через 192.168.1.1 или на 192.168.1.1 делать snat , но по моему лучше маршрут