маршрутизация 2-ух подсетей (помогите уточнить пару вопросов)

[Rydj]

Добрый день, тема с маршрутизацией тут уже проскакивала. Задачу решил решать как в описывали https://forum.ubuntu.ru/index.php?topic=121036.0. У меня такой вот вопрос мне надо сделать маршрутизацию между 172.16.0.0/19 и 192.168.239.0/24 когда я их соединю через машину с 2-мя сетевухами в качестве шлюза в обоих подсетях надо указать эту машину тут все понятно. Но у меня настроен прозрачный прокси, у меня же интернет тогда отвалится при такой расстановке да?

[fisher74]

А интернет у Вас приходит по пожарной лестнице соседнего здания? Или я что-то упустил в описании?

[ArcFi]

Rydj, давайте начнём обсуждение по-нормальному:

Код: [Выделить]

ip a
ip r
sudo iptables-saveИ конфиг прокси.
Плюс ваши комментарии.

[Rydj]

что-то не получается сделать маршрутизацию. Так начнем сначала, имеем 2 сети одна 172.16.0.0/19 другая 192.16.239.0/24 нужно чтобы проходил пинг.
На сервере
eth0 172.16.30.111
eth1 192.168.239.41

прописываю команды:

Код: [Выделить]

echo 'net.ipv4.ip_forward = 1' >>/etc/sysctl.conf; sysctl -p
iptables -P FORWARD DROP
iptables -A FORWARD -s 172.16.0.0/19 -d 192.168.239.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.239.0/24 -d 172.16.0.0/19 -j ACCEPT


(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

root@connect:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:15:17:f5:9c:7f brd ff:ff:ff:ff:ff:ff
    inet 172.16.30.111/19 brd 172.16.31.255 scope global eth0
    inet6 fe80::215:17ff:fef5:9c7f/64 scope link
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:15:17:f5:9c:7e brd ff:ff:ff:ff:ff:ff
    inet 192.168.239.41/24 brd 192.168.239.255 scope global eth1
    inet6 fe80::215:17ff:fef5:9c7e/64 scope link
       valid_lft forever preferred_lft forever


Код: [Выделить]

root@connect:~# ip r
default via 172.16.0.1 dev eth0  metric 100
172.16.0.0/19 dev eth0  proto kernel  scope link  src 172.16.30.111
192.168.239.0/24 dev eth1  proto kernel  scope link  src 192.168.239.41


Код: [Выделить]

root@connect:~# iptables-save
# Generated by iptables-save v1.4.12 on Wed Oct 10 12:14:03 2012
*filter
:INPUT ACCEPT [45898:7360599]
:FORWARD DROP [555:41727]
:OUTPUT ACCEPT [3490:446540]
-A FORWARD -s 172.16.0.0/19 -d 192.168.239.0/24 -j ACCEPT
-A FORWARD -s 192.168.239.0/24 -d 172.16.0.0/19 -j ACCEPT
COMMIT
# Completed on Wed Oct 10 12:14:03 2012


Пинг  от компа находящегося в 172 сети можно сделать только до 192.168.239.41, до компа в 192 сети пинг не идет(

Помогите пожалуйста разобраться в чем ошибка у меня

[fisher74]

При чём тут nat?
В iptables правил достаточно, просто клиенты сети 192.168.239.0/24 не знают где находится сеть 172.16.0.0/19.
То есть нужно колдовать с их маршрутами, либо роутером, который является в той сети дефолтным шлюзом.
Есть вариант, действительно, задействовать маскарад на интерфейсе eth1, но это в том случае, что другие способы не доступны.

Для подтверждения моих слов предлагаю Rydj показать route -n клиента их обсуждаемой сети.

[Rydj]

я прописал

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
помогло, все нормально пингуется.
fisher74, днем сделаю и скину.
У меня собственно такой вопрос, если на клиенте я указываю в качестве шлюза ip машины где настроена маршрутизация, там пропадает интернет, так как у меня настроен прозрачный прокси и интернет шлюзом служит машина 172.16.0.1 .Это не критично, но было бы здорово если бы был способ поправить ситуацию

[fisher74]

Добавьте маршрут на интернет-шлюзе 192.168.239.0/24 через 172.16.30.111
В сети 192.168.239.0/24 на их дефолтном шлюзе, если рассматриваемый маршрутизатор им не является, нужно так же задать маршрут до сети 172.16.0.0/19 через 192.168.239.41

ЗЫ Выхлоп можете уже не показывать, потому как и так ясно, какой дефолтный шлюз у клиентов сети 172.16.0.0/19

[AnrDaemon]

я прописал

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
помогло, все нормально пингуется.

Это не помощь, это костыль...