IPTables

[misteg]

Есть сеть 192.168.0.0/24. Серверная Ubuntu с 3 сетевыми. В ней на 253 и 254 IP висят 2 роутера, а 1 смотрит в сеть дома. Проблема заключается в следующем: все машины должны выходит в енет с 253 роутера, и только на один сайт site.com:5000 выходить со второго роутера.
Подскажите, какое правило нужно прописать в iptables для этого?)

[InkVisitor]

Код: [Выделить]

iptables -A FORWARD -i eth0 -s 192.168.0.0/24 -o eth1 -d IP-site.com --dport 5000 -j ACCEPT
iptables -A FORWARD -i eth1 -s IP-site.com -o eth0 -d 192.168.0.0/24 --sport 5000 -j ACCEPT

iptables -A FORWARD -i eth0 -s 192.168.0.0/24 -o eth2 -d IP-site.com --dport 5000 -j DROP
iptables -A FORWARD -i eth2 -s IP-site.com -o eth0 -d 192.168.0.0/24 --sport 5000 -j DROP

шось типа такого...
+ маршрутизацию...

[misteg]

Спасибо, завтра проверим

[InkVisitor]

Но это не всё.
Там ещё маскарадинг или нат включить надо. Разрешения в цепочках INPUT, OUTPUT...
Вообщем, это для начала...

Одним словом - https://forum.ubuntu.ru/index.php?topic=20334.0;topicseen
Обязательно к прочтению.

[AnrDaemon]

Вопрос номер один - зачем две сетевые?
Вопрос номер два - вы с адресацией ничего не напутали?

[misteg]

не 2 сетевые, 3. К 2 подключены провайдеры, к 3 сеть
что я мог напутать с адресацией?

[fisher74]

Всё что угодно. Бывают по незнанию такие перлы выкатывают.

В детстве все писаются, так что ничего в этом страшного нет, главное чтобы было стремление.

[drako]

(Нажмите, чтобы показать/скрыть)

В детстве все писаются, так что ничего в этом страшного нет, главное чтобы было стремление.

Сделать лужу побольше и извалять в ней как можно больше народу

[AnrDaemon]

не 2 сетевые, 3. К 2 подключены провайдеры, к 3 сеть

У вас 100МБит интернет, да? Нафига две сетевые?

что я мог напутать с адресацией?

Назначить трём разным интерфейсам адреса из одной сети.

[misteg]

Есть сеть нашей администрации 10.1.52.ххх, в сети администрации на 254 адресе весит роутер и только через него можно получить доступ к серверу документооборота и почтовому серверу.Есть сеть нашего здания 10.1.53.ххх, у нас есть свой выделенный канал интернета, независимый от администрации. Хотелось бы сделать так, что бы в браузерах, при обращении к серверу документооборота трафик шёл через администрацию, а остальной шёл через наш выделенный канал.
Возможно я в начале бред написал, постарался поконкретнее. Хотя опять не уверен)

[AnrDaemon]

Вот теперь ясно.
Всё, что вам надо сделать, это правильно прописать маршрутизацию.
iptables к этому имеют левое отношение.

[misteg]

что-то типа этого?
route add -net <документооборот> netmask 255.255.255.0 gw 10.1.52.254 eth1 -p  ?

[fisher74]

только вот оконный параметр "-р" не нужен
А вот перед eth1, раз уж его указываете - нужно указать, что это девайс, т.е. dev. Но, в принципе, можно и не показывать, тогда система сама найдёт через какой интерфейс ходить до указанного шлюза