Помогите настроить Интернет шлюз с двумя модемами

[gORB]

Товарищи, выручайте!

  Суть вопроса такова: Первый раз в жизни занимаюсь настройкой машины под Linux и немного зашёл в тупик.
Использую Ubuntu server 10.04 + samba + dhcp3
Задача заключается в том чтобы настроить интернет шлюз, работающий с двумя интернет подключениями. Причём один ADSL модэм (Huawei MT800) подключается к шлюзу и раздаёт интернет на 2 подсети (192.168.2.0 192.168.3.0), а второй включён в удалённый (в смысле в другом крыле здания) коммутатор и должен раздавать инет третей подсети (192.168.1.0). При этом все три подсети должны иметь доступ к сетевым папкам samba, расположенным на всё том же шлюзе (ака сервере 192.168.2.1).
  Клиентские машины все работают под ХР, для сетей 2.0 и 3.0 шлюз выставлен 2.1 и всё в них работает как надо. Проблема с 1.0. Поскольку для неё есть отдельный модэм (192.168.1.1), то соответственно шлюзом прописывается именно он. При такой настройке интернет в этой подсети есть, но самба недоступна и собственно все остальные сети не пингуются (из них она тоже не пингуется).
Если шлюзом назначить сервер 2.1, то всё наоборот - всё видно, всё доступно, но нет интернета в этой подсети. Логично предположить что у меня хреново с маршрутизацией между подсетями, хотя я как мог пытался её настроить на сервере. В общем, главный вопрос: что нужно сделать, чтобы на шлюзе интернет траффик сети 1.0, имеющей шлюзом 2.1, перенаправлялся на модэм 1.1? Либо как заставить 1.0 со шлюзом 1.1 видеть всю остальную сеть? Вариант с докупанием ещё одной сетевой карты в сервер и подключением к ней второго модэма считается крайней мерой, на которую идти очень не желательно. Сеть,к сожалению, построена на неуправляемых коммутаторах.
   Пробовал при шлюзе 1.1 настраивать маршрутизацию на модэме, это дало только возможность пропинговать этот модэм с сервера и других подсетей, дальше в 1.0 не пустили.
   Чтобы не быть голословным, приведу сопутствующие конфиги сервера:
/etc/interfaces

Код: [Выделить]

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth1
iface eth1 inet static
address 192.168.2.1
netmask 255.255.255.0
network 192.168.2.0
broadcast 192.168.2.255

up route add -net 192.168.1.0 netmask 255.255.255.0 eth1
up route add -net 192.168.2.0 netmask 255.255.255.0 eth1
up route add -net 192.168.3.0 netmask 255.255.255.0 eth1

up route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.100.2 eth0
up route add -net 192.168.3.0 netmask 255.255.255.0 gw 192.168.100.2 eth0

#up route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1 eth1

#Iternet interface
auto eth0
iface eth0 inet static
address 192.168.100.2
netmask 255.255.255.0
gateway 192.168.100.1
dns-nameservers 80.254.111.254 195.161.172.254

pre-up iptables-restore < /etc/iptables.up.rules

Файл /etc/iptables.up.rules

Код: [Выделить]

# Generated by iptables-save v1.4.4 on Fri Aug 20 16:47:22 2010
*nat
:PREROUTING ACCEPT [2:282]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -j MASQUERADE
COMMIT
# Completed on Fri Aug 20 16:47:22 2010
# Generated by iptables-save v1.4.4 on Fri Aug 20 16:47:22 2010
*filter
:INPUT ACCEPT [13:712]
:FORWARD ACCEPT [9:551]
:OUTPUT ACCEPT [7:520]
-A INPUT -i eth1 --source 192.168.1.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth1 --destination 192.168.1.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -i eth0 -o eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -s 192.168.3.0/24 -i eth0 -o eth1 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Fri Aug 20 16:47:22 2010

Ну и Самбы кусочек, до кучи:

Код: [Выделить]


[global]

   workgroup = PL3MAIN
   remote announce = 192.168.1.255/PL3BUH 192.168.3.255/PL3CLASS
   server string = %h server (Samba, Ubuntu)
   wins support = yes
   netbios name=%h
   dns proxy = no

   interfaces = 127.0.0.0/8 eth1
   socket address = 127.0.0.1 192.168.2.1
   bind interfaces only = yes
   hosts allow = 127.0.0.1, 192.168.1.0/255.255.255.0, 192.168.2.0/255.255.255.0, 192.168.3.0/255.255.255.0

   domain master = yes
   preferred master = yes
   local master = yes
   os level = 255
   enhanced browsing = yes
   time server = yes


   security = user
   encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
   unix password sync = yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
   pam password change = yes

   map to guest = bad user
   guest account = nobody

   preserve case = yes
   usershare allow guests = yes

Зараннее всех благодарю, извиняюсь за нубизм, жду ответов.

[AnrDaemon]

1. Читать правила форума.
2. Фпоиск. Примеры решения уже приводились.
Ключевые слова - маршрутизация, транспортная сеть.

[MaratSh]

gORB нарисуй схему сети - так всем будет понятнее, в том числе и тебе самому.

[gORB]

Кликабельно

[MaratSh]

gORB А теперь, укажи для каждой подсети маску и шлюз по-умолчанию.  
А то пока не понятно, для чего разделение на подсети.

192.168.1.1 - непонятно куда подключен...

P.S: картинку сохраняй в .PNG
Пользователь решил продолжить мысль 26 Августа 2010, 16:43:02:Если я правильно тебя понял, ОБА модема должны быть подключены к серверу, а дальше сервер предоставляет доступ к сетевым шарам и интернету для клиентов?
Идеологически правильным, было бы поставить в сервер дополнительную сетевую карту для второго модема.
Но можно и прописать для сетевой дополнительные адреса из других подсетей - погугли на форуме по словам: alias / алиас

[gORB]

По большому счёту, третья подсеть для мебели, поскольку и в 2.0 и в 3.0 шлюз по-умолчанию 192.168.2.1. Маски во всех трёх подсетях 255.255.255.0.
Сеть 192.168.1.0 должна седеть на отдельном, независимом от сервера, интернете. При этом шлюз по-умолчанию 192.168.1.1, это в идеале. Но в таком раскладе, там не работает самба. Поэтому сейчас там такой же шлюз как у всех, но и интернет при этом идёт от сервера.

[Unreg]

а дописать в статическую таблицу маршрутизации модема 192.168.1.1
 192.168.2.0/23 dev $LAN???


Пользователь решил продолжить мысль 26 Августа 2010, 17:39:20:если доступ нужен только к SMB серверу
192.168.2.1/32 dev $LAN???

[gORB]

Уважаемый Unreg, я об этом упомянал.

Пробовал при шлюзе 1.1 настраивать маршрутизацию на модэме, это дало только возможность пропинговать этот модэм с сервера и других подсетей, дальше в 1.0 не пустили.

[Unreg]

а smbclient -L 192.168.2.1 и nmap 192.168.2.1 с 192.168.1.0/24 что говорит?

Одного понять не могу, если в подсети 192.168.3.0 маска 255.255.255.0, то каким образом образом для этой сети достижим шлюз с адресом 192.168.2.1, если маска на eth1 255.255.255.0?

В таблице Filter цепочка Forward по умолчанию ACCEPT...
Правила для фильтрации смысла не имеют

Из того что я вижу на схеме

Код: [Выделить]

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
#Iternet interface
auto eth0
iface eth0 inet static
address 192.168.100.2
netmask 255.255.255.0
gateway 192.168.100.1
dns-nameservers 80.254.111.254 195.161.172.254

auto eth1
allow-hotplug eth1
iface eth1 inet static
address 192.168.2.1
network 192.168.1.0
netmask 255.255.252.0
broadcast 192.168.3.255
post-up iptables-restore < /etc/iptables.up.rules

# Generated by iptables-save v1.3.8 on Fri Aug 27 00:30:10 2010
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Aug 27 00:30:10 2010
# Generated by iptables-save v1.3.8 on Fri Aug 27 00:30:10 2010
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.2.0/255.255.254.0 -o eth0 -j MASQUERADE
COMMIT
# Completed on Fri Aug 27 00:30:10 2010
# Generated by iptables-save v1.3.8 on Fri Aug 27 00:30:10 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state INVALID -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -m conntrack --ctstate NEW -j ACCEPT
COMMIT