Нужно разрешить ходить компам из одной сети в другую

[DDDstart]

Имеется сервер с тремя сетевыми картами

[root@proxi_GU ~]# ifconfig
eth0    Link encap:Ethernet  HWaddr 00:0D:88:4F:C9:54
          inet addr:193.хх.хх.69  Bcast:0.0.0.0  Mask:255.255.255.224..............

eth1    Link encap:Ethernet  HWaddr 00:C0:26:31:13:EC
          inet addr:192.168.0.1  Bcast:0.0.0.0  Mask:255.255.255.0.............
   
eth2    Link encap:Ethernet  HWaddr 00:0D:88:B3:79:64
          inet addr:10.65.0.25  Bcast:0.0.0.0  Mask:255.255.128.0............

Через eth0 пользователи сквидом лезут в инет, как из одной (192.168.0.0) так и из второй (10.65.0.0) сети.
Через интерфейс eth2 и далее через cisco 10.65.0.1 доступна некая корпоративная сеть 10.0.0.0
Встал вопрос дать доступ компам из сети 192.168.0.0 ходить в сеть 10.0.0.0

Вот мой route:
[root@proxi_GU ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
193.xx.xx.64   0.0.0.0         255.255.255.224 U     0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
10.65.0.0       0.0.0.0         255.255.128.0   U     0      0        0 eth2
10.0.0.0        10.65.0.1       255.0.0.0       UG    0      0        0 eth2
0.0.0.0         193.xx.xx.65   0.0.0.0         UG    0      0        0 eth0

Я так понимаю, что нужно как-то маршрутизировать пакеты с eth1 на eth2. Натолкните на мысль в какую сторону копать

Думаю вот наверное в iptables где-то править нужно, что все пакеты с интерфейса eth1, идущие в сеть 10.0.0.0, перебрасывать на интерфейс eth2. Только в какой таблице это прописывать?

А с помощью route никак не обойтись?
Пользователь решил продолжить мысль 08 Октября 2010, 14:00:47:Подумал, что форвардинг из сети 192.168.0.0 в сеть 10.0.0.0 работать скорее всего не будет, так как в сети 10.0.0.0 нет маршрутов для моей серее всех серых сети 192.168.0.0

А вот НАТОМ наверное сделать можно.
Как правильно написать правило под такую задачу:
чтобы все пакеты, попадающие на интерфейс eth1 и предназначенные для сети 10.0.0.0 на любой порт, перенаправлялись на интерфейс eth2
и в какую таблицу это правило прописать?

[Гарри Кашпировский]

Включите голову наконец!
iptables -t nat -A POSTROUTING -o eth2 -s 192.168.0.0/24 -d 10.0.0.0/8 -j SNAT --to-source 10.65.0.25

[DDDstart]

Включите голову наконец!
iptables -t nat -A POSTROUTING -o eth2 -s 192.168.0.0/24 -d 10.0.0.0/8 -j SNAT --to-source 10.65.0.25

Пинги только ходят в 10.0.0.0, а если пытаюсь телнетом конектиться ничего не выходит.

Обратно для сети 10 в 192-ую ничего не нужно прописывать. Может по аналогии нужно сделать

[Mam(O)n]

Ну покажи sudo iptables-save, мож фильтруешь где...

[DDDstart]

[root@proxi_GU nat]# iptables-save > /home/1
[root@proxi_GU nat]# cat /home/1
# Generated by iptables-save v1.4.5 on Fri Oct  8 15:00:40 2010
*mangle
:PREROUTING ACCEPT [50486311:17303356366]
:INPUT ACCEPT [49264881:16858006385]
:FORWARD ACCEPT [1153369:432646292]
:OUTPUT ACCEPT [81463220:18859026072]
:POSTROUTING ACCEPT [82633162:19294859490]
COMMIT
# Completed on Fri Oct  8 15:00:40 2010
# Generated by iptables-save v1.4.5 on Fri Oct  8 15:00:40 2010
*nat
:PREROUTING ACCEPT [731358:54338013]
:POSTROUTING ACCEPT [1217115:72571142]
:OUTPUT ACCEPT [1065117:63062141]
-A PREROUTING -d 193.хх.хх.69/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.100:3389
-A PREROUTING -d 193.хх.хх.69/32 -p tcp -m tcp --dport 4899 -j DNAT --to-destination 192.168.0.100:4899
-A POSTROUTING -s 192.168.0.0/24 -d 10.0.0.0/8 -o eth2 -j SNAT --to-source 10.65.0.25
-A OUTPUT -d 193.хх.хх.69/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.100:3389
-A OUTPUT -d 193.хх.хх.69/32 -p tcp -m tcp --dport 4899 -j DNAT --to-destination 192.168.0.100:4899
COMMIT
# Completed on Fri Oct  8 15:00:40 2010
# Generated by iptables-save v1.4.5 on Fri Oct  8 15:00:40 2010
*filter
:INPUT ACCEPT [24527:1774547]
:FORWARD ACCEPT [273:15830]
:OUTPUT ACCEPT [9732:593872]
-A INPUT -f -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j ULOG --ulog-prefix "icount" --ulog-cprange 48 --ulog-qthreshold 50
-A INPUT -i eth0 -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 1194 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 25 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 465 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 587 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 587 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 110 -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -i eth0 -j DROP
-A FORWARD -f -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j ULOG --ulog-prefix "fcount" --ulog-cprange 48 --ulog-qthreshold 50                                             
-A FORWARD -d 192.168.0.100/32 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.0.100/32 -p tcp -m tcp --dport 4899 -j ACCEPT
-A FORWARD -d 193.хх.хх.64/27 -i eth0 -j ACCEPT
-A FORWARD -m physdev --physdev-is-bridged -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -j DROP
-A OUTPUT -f -j DROP
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j ULOG --ulog-prefix "ocount" --ulog-cprange 48 --ulog-qthreshold 50
COMMIT
# Completed on Fri Oct  8 15:00:40 2010

[Гарри Кашпировский]

Разрешайте в цепочке FORWARD обращение к сети 10.0.0.0/8
Пользователь решил продолжить мысль 08 Октября 2010, 15:10:57:

Обратно для сети 10 в 192-ую ничего не нужно прописывать. Может по аналогии нужно сделать

Если хотите что бы Ваша сеть была видна сети 10.0.0.0/8 вам нужно к Провайдеру обратиться.

[drako]

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
Можете еще добавить -s и -d для уточнения подсетей. Ну и на компах в 10 подсети должен быть прописан маршрут в 192 подсеть через 10.65.0.25, поскольку шлюз там другой.