маршрутизация между сетями

[guru-sun]

почитав https://forum.ubuntu.ru/index.php?topic=12454.0

Всё настроил на сервере и сам сервер бегает в требуемые сети как требуется, а вот как раздать на клиентов данную маршрутизацию?

### internt ###

auto eth0
iface eth0 inet static
address 1.0.254.2
netmask 255.255.255.0
gateway 1.0.254.1
dns-nameserver 1.0.254.1

### lan in ### (на него настроено DHCP[dnsmasq] для 3го отделения организации)

iface eth1 inet static
address 1.0.3.1
netmask 255.255.255.0

### lan out ###

iface eth2 inet static
address 1.0.2.254 (смотри прямиком во 2е отделение организации)
netmask 255.255.255.0
up route add -net 1.0.1.0 mask 255.255.255.0 gw 1.0.2.1 eth2 (1.0.2.1 смотрит в сеть 1.0.1.0 через сеть 10.10.10.0)


На шлюзе 1.0.2.1 и 1.0.1.1 стоят win2k3 так-что подглядеть неоткуда.
Задача дать доступ пользователям сидящим через eth1 спокойно ходить в сети 1.0.1.0 и 1.0.2.0
В общем направьте в нужное русло.

[fisher74]

1. У клиентов сети 1.0.3.0/24 что является маршрутом по умолчанию?
2. интернет раздаётся средствами nat или прокси?
3. В корне неверный выбор адресации для локальной сети.

[guru-sun]

1. У клиентов сети 1.0.3.0/24 что является маршрутом по умолчанию?
2. интернет раздаётся средствами nat или прокси?
3. В корне неверный выбор адресации для локальной сети.

1. Если о шлюзе то 1.0.3.1
2. Squid
3. Что в наследство досталось то и использую

[fisher74]

Тогда Вам нужно разрешить ядру форвард пакетов и настроить iptables на форвард только разрешённых пакетов(направлений)

Да, чуть не забыл. Если хочется сквозной (прозрачной) маршрутизации, клиенты сетей  1.0.1.0 и 1.0.2.0 тоже должны знать маршрут до сети 1.0.3.0. Идеально, если их дефолтным маршрутизатором является рассматриваемый нами. Если не так, то можно на их дефолтных шлюзах добавить маршрут. Иначе лепить SNAT, что не есть хорошо.

ЗЫ плохое, криворукое наследие... Постарайтесь уйти от него. Если сети настроены DHCP, то проблемы с переходом не должно быть. Можно за полдня, с перерывом на чай/кофе всё перевести и проконтролировать исправную работу сети. Если и это не так, то пришло время это сделать.

[guru-sun]

Спасибо за направление, все решилось.

Решилось так:
/etc/sysctl.conf
net.ipv4.ip_forward = 1

iptables -t nat -A POSTROUTING -o eth2

[fisher74]

и насмерть убили счета за интернет....

не говоря о информационной безопасности.

я не даром написал

нужно разрешить ядру форвард пакетов И настроить iptables на форвард ТОЛЬКО разрешённых пакетов

[guru-sun]

интернет, анлим тут не имеет значения.

а вот насчёт ТОЛЬКО разрешенных пакетах можно поподробней?
как разделить пакеты или перебросить весь трафик за исключением порта интернета с eth1 в eth2?
файл конфига iptables в природе существует или всё только через cmd?

[fisher74]

как разделить пакеты или перебросить весь трафик за исключением порта интернета с eth1 в eth2?

Код: [Выделить]

sudo iptables -A FORWARD -i eth1 -o eth2 -j DROPно учтите, что это очень очень примитивная защита...
Т так-то у Вас интернет на eth0... Не?

файл конфига iptables в природе существует или всё только через cmd?

да существует. Искусственный, но существует.
Есть несколько способов загрузки правил в netfilter, все они неожнократно рассматривались на форуме... и не только. Я обычно загружаю с помощью iptables-restore в файле interfaces