маршрутизатор с тремя интерфейсами

[koshev]

В правилах iptables.

[MPotapoff]

В правилах iptables.

А тех, что я прописал разве недостаточно - разрешить форвардинг между интерфейсами в обе стороны?

[alecsartania]

В чем может быть причина?

а трейсроут от 192 до машин 172.18 наверняка доходит ?
- если так , то осталось прописать маршрут на 172.24.80.1 типа этого
sudo route add -net 192.168.2.0 netmask 255.255.255.0 gw 172.24.80.2 eth0

[MPotapoff]

а трейсроут от 192 до машин 172.18 наверняка доходит ?

завтра возьму ноут с Linuxом на работу и проверю. из локалки пингуется только 172.24.80.2
172.24.80.1 уже не пингуется, не говоря о сети 172.18.81.0 которая стоит за ним

[koshev]

А тех, что я прописал разве недостаточно - разрешить форвардинг между интерфейсами в обе стороны?

А я не видел правил. Я видел некие команды. А что там у тебя в правилах,одному тебе известно.

[MPotapoff]

А тех, что я прописал разве недостаточно - разрешить форвардинг между интерфейсами в обе стороны?

А я не видел правил. Я видел некие команды. А что там у тебя в правилах,одному тебе известно.

Я говорил об этом:

 iptables -A FORWARD -i eth1 -o eth2 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth1 -j ACCEPT

[AnrDaemon]

Третий раз за тему - вырванные из контекста, правила не говорят ни о чём.
Показывайте iptables-save

[AlDemin]

100% у дальнего шлюза нет либо маршрута, либо правила iptables к твоей подсети.
На твоём шлюзе все корректно.

[MPotapoff]

Третий раз за тему - вырванные из контекста, правила не говорят ни о чём.
Показывайте iptables-save

Показываю

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Thu Mar 15 08:57:46 2012
*nat
:PREROUTING ACCEPT [15423:1257994]
:POSTROUTING ACCEPT [3489:218324]
:OUTPUT ACCEPT [5768:375003]
-A PREROUTING -d 193.33.88.105/32 -p tcp -m multiport --dports 3389,4899,13000,14000 -j DNAT --to-destination 192.168.8.2
-A PREROUTING -s 192.168.8.11/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.8.35/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.8.43/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.8.2/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.8.78/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.8.44/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.8.20/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.8.6/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.8.4/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.8.32/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.8.19/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.8.25/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -d 192.168.8.2/32 -p tcp -m multiport --dports 3389,4899,13000,14000 -j SNAT --to-source 193.33.88.105
-A POSTROUTING -s 192.168.8.2/32 -p tcp -m multiport --dports 3389,4899,13000,14000 -j SNAT --to-source 193.33.88.105
-A POSTROUTING -o eth0 -j SNAT --to-source 193.33.88.105
-A OUTPUT -d 193.33.88.105/32 -p tcp -m multiport --dports 3389,4899,13000,14000 -j DNAT --to-destination 192.168.8.2
COMMIT
# Completed on Thu Mar 15 08:57:46 2012
# Generated by iptables-save v1.4.4 on Thu Mar 15 08:57:46 2012
*filter
:INPUT DROP [2254:241598]
:FORWARD DROP [911:58341]
:OUTPUT DROP [0:0]
-A INPUT -p icmp -j ACCEPT
-A INPUT -d 127.0.0.1/32 -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth2 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -s 192.168.8.0/24 -d 192.168.8.1/32 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1022 -j ACCEPT
-A INPUT -s 192.168.8.0/24 -d 192.168.8.1/32 -p tcp -m tcp --dport 5555 -j ACCEPT
-A INPUT -s 192.168.8.0/24 -d 192.168.8.1/32 -p udp -m udp --sport 5555 --dport 5555 -j ACCEPT
-A INPUT -s 192.168.8.11/32 -j ACCEPT
-A INPUT -s 192.168.8.35/32 -j ACCEPT
-A INPUT -s 192.168.8.43/32 -j ACCEPT
-A INPUT -s 192.168.8.2/32 -j ACCEPT
-A INPUT -s 192.168.8.78/32 -j ACCEPT
-A INPUT -s 192.168.8.44/32 -j ACCEPT
-A INPUT -s 192.168.8.20/32 -j ACCEPT
-A INPUT -s 192.168.8.6/32 -j ACCEPT
-A INPUT -s 192.168.8.4/32 -j ACCEPT
-A INPUT -s 192.168.8.32/32 -j ACCEPT
-A INPUT -s 192.168.8.19/32 -j ACCEPT
-A INPUT -s 192.168.8.25/32 -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -p tcp -m tcp --sport 53 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT
-A FORWARD -p udp -m udp --sport 53 -j ACCEPT
-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.8.2/32 -p tcp -m multiport --sports 3389,4899,13000,14000 -j ACCEPT
-A FORWARD -d 192.168.8.2/32 -p tcp -m multiport --dports 3389,4899,13000,14000 -j ACCEPT
-A FORWARD -s 192.168.8.11/32 -j ACCEPT
-A FORWARD -d 192.168.8.11/32 -j ACCEPT
-A FORWARD -s 192.168.8.35/32 -j ACCEPT
-A FORWARD -d 192.168.8.35/32 -j ACCEPT
-A FORWARD -s 192.168.8.43/32 -j ACCEPT
-A FORWARD -d 192.168.8.43/32 -j ACCEPT
-A FORWARD -s 192.168.8.2/32 -j ACCEPT
-A FORWARD -d 192.168.8.2/32 -j ACCEPT
-A FORWARD -s 192.168.8.78/32 -j ACCEPT
-A FORWARD -d 192.168.8.78/32 -j ACCEPT
-A FORWARD -s 192.168.8.44/32 -j ACCEPT
-A FORWARD -d 192.168.8.44/32 -j ACCEPT
-A FORWARD -s 192.168.8.20/32 -j ACCEPT
-A FORWARD -d 192.168.8.20/32 -j ACCEPT
-A FORWARD -s 192.168.8.6/32 -j ACCEPT
-A FORWARD -d 192.168.8.6/32 -j ACCEPT
-A FORWARD -s 192.168.8.4/32 -j ACCEPT
-A FORWARD -d 192.168.8.4/32 -j ACCEPT
-A FORWARD -s 192.168.8.32/32 -j ACCEPT
-A FORWARD -d 192.168.8.32/32 -j ACCEPT
-A FORWARD -s 192.168.8.19/32 -j ACCEPT
-A FORWARD -d 192.168.8.19/32 -j ACCEPT
-A FORWARD -s 192.168.8.25/32 -j ACCEPT
-A FORWARD -d 192.168.8.25/32 -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o eth2 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.8.1/32 -d 192.168.8.0/24 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 1022 -j ACCEPT
-A OUTPUT -s 192.168.8.1/32 -d 192.168.8.0/24 -p tcp -m tcp --sport 5555 -j ACCEPT
-A OUTPUT -s 192.168.8.1/32 -d 192.168.8.0/24 -p udp -m udp --dport 5555 -j ACCEPT
-A OUTPUT -d 192.168.8.11/32 -j ACCEPT
-A OUTPUT -d 192.168.8.35/32 -j ACCEPT
-A OUTPUT -d 192.168.8.43/32 -j ACCEPT
-A OUTPUT -d 192.168.8.2/32 -j ACCEPT
-A OUTPUT -d 192.168.8.78/32 -j ACCEPT
-A OUTPUT -d 192.168.8.25/32 -j ACCEPT
-A OUTPUT -d 192.168.8.44/32 -j ACCEPT
-A OUTPUT -d 192.168.8.20/32 -j ACCEPT
-A OUTPUT -d 192.168.8.6/32 -j ACCEPT
-A OUTPUT -d 192.168.8.4/32 -j ACCEPT
-A OUTPUT -d 192.168.8.32/32 -j ACCEPT
-A OUTPUT -d 192.168.8.19/32 -j ACCEPT
-A OUTPUT -d 192.168.8.25/32 -j ACCEPT
COMMIT
# Completed on Thu Mar 15 08:57:46 2012

[koshev]

А что ты тогда хотел мил человек? У тебя нет (S)NAT'а на головную сеть предприятия.
А если хочется без (S)NAT, то, как верно заметил AlDemin, маршутизаторы сети 172.18.81.0/24 должны знать как добраться до твоей.

[AlDemin]

MPotapoff,

Показываю

кошмар, столько логически ошибочных и дублирующихся правил...
KT315,

У тебя нет (S)NAT'а на головную сеть предприятия.

+1
MPotapoff
Можно сделать SNAT, но учти момент, твоя сеть будет видеть головную, а обратно нет.

[MPotapoff]

А что ты тогда хотел мил человек? У тебя нет (S)NAT'а на головную сеть предприятия.
А если хочется без (S)NAT, то, как верно заметил AlDemin, маршутизаторы сети 172.18.81.0/24 должны знать как добраться до твоей.

спасибо!!! все заработало

кошмар, столько логически ошибочных и дублирующихся правил...

если Вы имеете в виду форвардинг на отдельные айпи адлеса локальной сетки, то это биллинговая система их штампует, чтобы давать доступ тем, кому это дозволено.
Думаю в будущем переписать iptables так, чтобы укаазать интерфейсы для форвардинга. Чтобы сеть головного предприятия была доступна всем, а интернет избранным

[_rod_]

оффтопик

Спасибо, это я и хотел узнать. Есть необходимость прокинуть сеть на проходную, но туда только две телефонные линии протянуты, и затащить что-то большее не представляется возможным, как по длине так и по толщине. Попробуем ваш вариант

SHDSL-модемы надо брать только