VPN+раздача+локальная сеть

[Unior]

Здраствуйте убунтовцы. Есть такая проблема надо дома раздать инет на нескоко компов. Провайдер даёт статический ип в локалке, инет сам бежит через впн тоесть eth0-сеть ppp0-инет. Как раздать инет с ppp0 нашол статью. Проблема заключается в следующем как настроить доступ из сети eth1-домашняя сеть в eth-в локальную сеть при обращении к серверам. Я думаю надо маршрутизацию пакетов но пока не в курю  как это зделать вот и решил попросить помощь.

[MorFF]

http://www.it-simple.ru/linux/897
я сделал по этому мануалу проблем не возникло

[Unior]

  Спасибо то что надо пока подниму так и пойду курить мануал iptables. СПС))

[Sam Stone]

если ручками клепаешь правила для iptables, то будет 2 правила NAT - одно с eth1 в ppp0 (завернуть свою локалку в инет), другое с eth1 в eth0 (завернуть свою локалку в локалку провайдера)

[Unior]

если не трудно можно демо чтоб началом было чтоб  начать курить iptables

[Гарри Кашпировский]

если не трудно можно демо чтоб началом было чтоб  начать курить iptables

[Lasteran]

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

лично у меня так раздается и локалка и инет на wlan0 и еще

sysctl -w net.ipv4.ip_forward="1"

вооот... раздается.... и работает...

[Unior]

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

лично у меня так раздается и локалка и инет на wlan0 и еще

sysctl -w net.ipv4.ip_forward="1"

вооот... раздается.... и работает...

Спасибо!
  Всё гениальное легко и просто. Просто я думал что надо как то смотреть куда обращаеться пакет и делать перенаправление) а тут просто нат на сетевуху и маршруты 

[Гарри Кашпировский]

Более того, кроме указания сетевухи можно указать адреса, которые получают NAT, а интерфейсы, особенно коммутируемые, могут пропадать (плохая связь, разрывы), поэтому правило, которое работает для интерфейса ppp0, естественно не будет работать для ppp1 etc.
Выход, указать NAT без явного указания интерфейса, но с диапазоном сети, на которую этот NAT и приходит.

Код: [Выделить]

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADEКроме того, можно делать маскарадинг только с опредёленных адресов

Код: [Выделить]

iptables -t nat -A POSTROUTING -d 212.1.224.0/19 -s 192.168.0.0/24 -j MASQUERADEНу об этом уже в man

[AnrDaemon]

Я бы всё таки сделал

iptables -t nat -A POSTROUTING -o eth0 -j SNAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d ! 192.168.0.0/24 -j MASQUERADE

[Unior]

Я бы всё таки сделал

iptables -t nat -A POSTROUTING -o eth0 -j SNAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d ! 192.168.0.0/24 -j MASQUERADE

iptables -t nat -A POSTROUTING -o ppp0 -j SNAT
iptables -t nat -A POSTROUTING -o eth0 -j SNAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d ! 192.168.0.0/24 -j MASQUERADE

 Я думаю так лучше ) но хотя ток новичок в iptables)

[AnrDaemon]

Третье правило не будет выполняться.

[Unreg]

http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html#SNATTARGET

[AnrDaemon]

No such host gazette.linux.ru.net

[Unreg]

6.5.12. Действие SNAT

SNAT используется для преобразования сетевых адресов (Source Network Address Translation), т.е. изменение исходящего IP адреса в IP заголовке пакета. Например, это действие можно использовать для предоставления выхода в Интернет другим компьютерам из локальной сети, имея лишь один уникальный IP адрес. Для этого. необходимо включить пересылку пакетов (forwarding) в ядре и затем создать правила, которые будут транслировать исходящие IP адреса нашей локальной сети в реальный внешний адрес. В результате, внешний мир ничего не будет знать о нашей локальной сети, он будет считать, что запросы пришли с нашего брандмауэра.

SNAT допускается выполнять только в таблице nat, в цепочке POSTROUTING. Другими словами, только здесь допускается преобразование исходящих адресов. Если первый пакет в соединении подвергся преобразованию исходящего адреса, то все последующие пакеты, из этого же соединения, будут преобразованы автоматически и не пойдут через эту цепочку правил.

Таблица 6-22. Действие SNAT

Ключ   --to-source
Пример   iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
Описание   Ключ --to-source используется для указания адреса, присваемового пакету. Все просто, вы указываете IP адрес, который будет подставлен в заголовок пакета в качестве исходящего. Если вы собираетесь перераспределять нагрузку между несколькими брандмауэрами, то можно указать диапазон адресов, где начальный и конечный адреса диапазона разделяются дефисом, например: 194.236.50.155-194.236.50.160. Тогда, конкретный IP адрес будет выбираться из диапазона случайным образом для каждого нового потока. Дополнительно можно указать диапазон портов, которые будут использоваться только для нужд SNAT. Все исходящие порты будут после этого перекартироваться в заданный диапазон. iptables старается, по-возможности, избегать перекартирования портов, однако не всегда это возможно, и тогда производится перекартирование . Если диапазон портов не задан, то исходные порты ниже 512 перекартируются в диапазоне 0-511, порты в диапазоне 512-1023 перекартируются в диапазоне 512-1023, и, наконец порты из диапазона 1024-65535 перекартируются в диапазоне 1024-65535. Что касается портов назначения, то они не подвергаются перекартированию.