shorewall не могу маршрутизировать пакеты 192.168.77.0 на другой роутер

[ua0ljj]

Всем привет

роутер на Linuxе (адрес в локалке 10.10.30.222) который имеет 2 интерфейса eth0 и eth1 (eth0 смотрит в локалку 10.10.30.0, eth1 смотрит в интернет)
есть еще в сети длинk роутер который обслуживает сетку 192.168.77.0 , его адрес 10.10.30.175
через роутер (10.10.30.222) ходят пользователи используют его как шлюз инет.

(раньше стоял длинковский роутер на котором я прописывал статический маршрут на 10.10.30.175) но его убрали...

задача
настроить маршрутизацию пакетов  с 192.168.77.0 через интерфейс eth0 на роутер 10.10.30.175.
чтобы пользователи сидя в своей подсети 10.10.30.0 могли работать с сетью  92.168.77.0

я пытался настроить shorewall но он не пускает
Shorewall:FORWARD:DROP:IN=eth0 OUT=eth0 SRC=10.10.30.118 DST=192.168.77.170 LEN=60 TOS=0x00 PREC=0x00 TTL=127 ID=2506 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=33024

хотя все маршруты прописаны на роутере
route add -host 192.168.77.170 gw 10.10.30.175 dev eth0

на сервере машина пингуется, а пользователи сети (которые работают через роутер 10.10.30.222) не могут достучаться до сетки 192.168.77.0

подскажите что нужно подправить в shorewall ?

[AnrDaemon]

При чём тут шорвалл? Пропиши маршрут на сеть, а не на хост, чудо...

[ua0ljj]

При чём тут шорвалл? Пропиши маршрут на сеть, а не на хост, чудо...

зачем так грубо? сам ты чудо...

я пробовал прописывать маршрут и на сеть
route add -net 192.168.77.0 gw 10.10.30.175 dev eth0
но не помогло, если бы это помогло, то я бы не писал сюда.

[AnrDaemon]

А маска сети где?
А
tracepath 192.168.77.1
 - куда пакет уходит?

И покажи iptables-save

[ua0ljj]

А маска сети где?
А
tracepath 192.168.77.1
 - куда пакет уходит?

И покажи iptables-save

опять же повторюсь , связь с линуховой машины (он же роутер) ЕСТЬ!
tracepath 192.168.77.1
 1:  Server (10.10.30.222)                                  0.334ms pmtu 1500
 1:  10.10.30.175 (10.10.30.175)                            0.842ms
 1:  10.10.30.175 (10.10.30.175)                            0.856ms
 2:  192.168.1.9 (192.168.1.9)                              8.130ms
 3:  192.168.77.1 (192.168.77.1)                            4.295ms reached
     Resume: pmtu 1500 hops 3 back 126

криминала не вижу...

и таблица вполне адекватная

(Нажмите, чтобы показать/скрыть)

route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
86.102.101.128  *               255.255.255.240 U     0      0        0 eth1
192.168.77.0    10.10.30.175    255.255.255.0   UG    0      0        0 eth0
10.10.30.0      *               255.255.255.0   U     0      0        0 eth0
default         86.102.101.130  0.0.0.0         UG    0      0        0 eth1

проблема то с клиентами которые работают через этот шлюз!

таблица

# Generated by iptables-save v1.4.2 on Tue Nov 16 20:02:19 2010
*raw
:PREROUTING ACCEPT [514855:79493077]
:OUTPUT ACCEPT [486802:65366598]
COMMIT
# Completed on Tue Nov 16 20:02:19 2010
# Generated by iptables-save v1.4.2 on Tue Nov 16 20:02:19 2010
*nat
:PREROUTING ACCEPT [5944:551478]
:POSTROUTING ACCEPT [43292:3324764]
:OUTPUT ACCEPT [43307:3325843]
:eth1_masq - [0:0]
:loc_dnat - [0:0]
:net_dnat - [0:0]
-A PREROUTING -i eth1 -j net_dnat
-A PREROUTING -i eth0 -j loc_dnat
-A POSTROUTING -o eth1 -j eth1_masq
-A eth1_masq -s 192.168.77.0/24 -j MASQUERADE
-A eth1_masq -s 10.10.30.0/24 -j MASQUERADE
COMMIT
# Completed on Tue Nov 16 20:02:19 2010
# Generated by iptables-save v1.4.2 on Tue Nov 16 20:02:19 2010
*mangle
:PREROUTING ACCEPT [514929:79501774]
:INPUT ACCEPT [487825:60997423]
:FORWARD ACCEPT [22728:18027779]
:OUTPUT ACCEPT [2544532:967950351]
:POSTROUTING ACCEPT [509754:83434792]
:tcfor - [0:0]
:tcout - [0:0]
:tcpost - [0:0]
:tcpre - [0:0]
-A PREROUTING -j tcpre
-A FORWARD -j tcfor
-A OUTPUT -j tcout
-A POSTROUTING -j tcpost
COMMIT
# Completed on Tue Nov 16 20:02:19 2010
# Generated by iptables-save v1.4.2 on Tue Nov 16 20:02:19 2010
*filter
:INPUT DROP [3:152]
:FORWARD DROP [5:306]
:OUTPUT DROP [17:1187]
:Drop - [0:0]
:Reject - [0:0]
:Reject - [0:0]
:dropBcast - [0:0]
:dropInvalid - [0:0]
:dropNotSyn - [0:0]
:dynamic - [0:0]
:eth0_fwd - [0:0]
:eth0_in - [0:0]
:eth0_out - [0:0]
:eth1_fwd - [0:0]
:eth1_in - [0:0]
:eth1_out - [0:0]
:fw2all - [0:0]
:fw2fw - [0:0]
:fw2loc - [0:0]
:fw2net - [0:0]
:loc2all - [0:0]
:loc2fw - [0:0]
:loc2loc - [0:0]
:loc2net - [0:0]
:logdrop - [0:0]
:logflags - [0:0]
:logreject - [0:0]
:net2all - [0:0]
:net2fw - [0:0]
:net2loc - [0:0]
:norfc1918 - [0:0]
:reject - [0:0]
:rfc1918 - [0:0]
:shorewall - [0:0]
:smurfs - [0:0]
:tcpflags - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j eth0_in
-A INPUT -i eth1 -j eth1_in
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j Drop
-A INPUT -j LOG --log-prefix "Shorewall:INPUT:DROP:" --log-level 6
-A INPUT -j DROP
-A FORWARD -i eth0 -j eth0_fwd
-A FORWARD -i eth1 -j eth1_fwd
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j Drop
-A FORWARD -j LOG --log-prefix "Shorewall:FORWARD:DROP:" --log-level 6
-A FORWARD -j DROP
-A OUTPUT -o eth0 -j eth0_out
-A OUTPUT -o eth1 -j eth1_out
-A OUTPUT -o lo -j fw2fw
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j Drop
-A OUTPUT -j DROP
-A Drop -p tcp -m tcp --dport 113 -j reject
-A Drop -j dropBcast
-A Drop -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
-A Drop -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A Drop -j dropInvalid
-A Drop -p udp -m multiport --dports 135,445 -j DROP
-A Drop -p udp -m udp --dport 137:139 -j DROP
-A Drop -p udp -m udp --sport 137 --dport 1024:65535 -j DROP
-A Drop -p tcp -m multiport --dports 135,139,445 -j DROP
-A Drop -p udp -m udp --dport 1900 -j DROP
-A Drop -p tcp -j dropNotSyn
-A Drop -p udp -m udp --sport 53 -j DROP
-A Reject -p tcp -m tcp --dport 113 -j reject
-A Reject -j dropBcast
-A Reject -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
-A Reject -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A Reject -j dropInvalid
-A Reject -p udp -m multiport --dports 135,445 -j reject
-A Reject -p udp -m udp --dport 137:139 -j reject
-A Reject -p udp -m udp --sport 137 --dport 1024:65535 -j reject
-A Reject -p tcp -m multiport --dports 135,139,445 -j reject
-A Reject -p udp -m udp --dport 1900 -j DROP
-A Reject -p tcp -j dropNotSyn
-A Reject -p udp -m udp --sport 53 -j DROP
-A dropBcast -m pkttype --pkt-type broadcast -j DROP
-A dropBcast -m pkttype --pkt-type multicast -j DROP
-A dropInvalid -m state --state INVALID -j DROP
-A dropNotSyn -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A eth0_fwd -m state --state INVALID,NEW -j dynamic
-A eth0_fwd -m state --state INVALID,NEW -j smurfs
-A eth0_fwd -p tcp -j tcpflags
-A eth0_fwd -o eth1 -j loc2net
-A eth0_in -m state --state INVALID,NEW -j dynamic
-A eth0_in -m state --state INVALID,NEW -j smurfs
-A eth0_in -p tcp -j tcpflags
-A eth0_in -j loc2fw
-A eth0_out -j fw2loc
-A eth1_fwd -m state --state INVALID,NEW -j dynamic
-A eth1_fwd -m state --state INVALID,NEW -j smurfs
-A eth1_fwd -m state --state NEW -j norfc1918
-A eth1_fwd -p tcp -j tcpflags
-A eth1_fwd -o eth0 -j net2loc
-A eth1_in -m state --state INVALID,NEW -j dynamic
-A eth1_in -m state --state INVALID,NEW -j smurfs
-A eth1_in -m state --state NEW -j norfc1918
-A eth1_in -p tcp -j tcpflags
-A eth1_in -j net2fw
-A eth1_out -j fw2net
-A fw2all -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fw2all -j Drop
-A fw2all -j DROP
-A fw2fw -m state --state RELATED,ESTABLISHED -m comment --comment "local" -j ACCEPT
-A fw2fw -m comment --comment "local" -j ACCEPT
-A fw2fw -j ACCEPT
-A fw2loc -m state --state RELATED,ESTABLISHED -j ACCEPT
-A fw2loc -j ACCEPT
-A fw2net -m state --state RELATED,ESTABLISHED -m comment --comment "pings" -j ACCEPT
-A fw2net -p icmp -m icmp --icmp-type 8 -m comment --comment "pings" -j ACCEPT
-A fw2net -p udp -m udp --dport 53 -m comment --comment "dns" -j ACCEPT
-A fw2net -p tcp -m tcp --dport 53 -m comment --comment "dns" -j ACCEPT
-A fw2net -p tcp -m tcp --dport 1:65535 -m comment --comment "To_Internet" -j ACCEPT
-A fw2net -p udp -m udp --dport 1:65535 -m comment --comment "To_Internet" -j ACCEPT
-A fw2net -j Drop
-A fw2net -j DROP
-A loc2all -m state --state RELATED,ESTABLISHED -j ACCEPT
-A loc2all -j ACCEPT
-A loc2fw -m state --state RELATED,ESTABLISHED -m comment --comment "pings" -j ACCEPT
-A loc2fw -p icmp -m icmp --icmp-type 8 -m comment --comment "pings" -j ACCEPT
-A loc2fw -p udp -m udp --dport 53 -m comment --comment "dns" -j ACCEPT
-A loc2fw -p tcp -m tcp --dport 53 -m comment --comment "dns" -j ACCEPT
-A loc2fw -p tcp -m tcp --dport 800 -m comment --comment "Redirect" -j ACCEPT
-A loc2fw -p udp -m multiport --dports 135,445 -m comment --comment "local" -j ACCEPT
-A loc2fw -p udp -m udp --dport 137:139 -m comment --comment "local" -j ACCEPT
-A loc2fw -p udp -m udp --sport 137 --dport 1024:65535 -m comment --comment "local" -j ACCEPT
-A loc2fw -p tcp -m multiport --dports 135,139,445 -m comment --comment "local" -j ACCEPT
-A loc2fw -p tcp -m tcp --dport 22 -m comment --comment "local" -j ACCEPT
-A loc2fw -j ACCEPT
-A loc2loc -m state --state RELATED,ESTABLISHED -j ACCEPT
-A loc2loc -j ACCEPT
-A loc2net -m state --state RELATED,ESTABLISHED -m comment --comment "pings" -j ACCEPT
-A loc2net -p icmp -m comment --comment "pings" -j ACCEPT
-A loc2net -p tcp -m multiport --dports 1:79,81:1024,1025:65535 -m comment --comment "user_ports" -j ACCEPT
-A loc2net -p udp -m multiport --dports 1:79,81:1024,1025:65535 -m comment --comment "user_ports" -j ACCEPT
-A loc2net -j Drop
-A loc2net -j DROP
-A logdrop -j LOG --log-prefix "Shorewall:logdrop:DROP:" --log-level 6
-A logdrop -j DROP
-A logflags -j LOG --log-prefix "Shorewall:logflags:DROP:" --log-level 6
-A logflags -j DROP
-A logreject -j LOG --log-prefix "Shorewall:logreject:REJECT:" --log-level 6
-A logreject -j reject
-A net2all -m state --state RELATED,ESTABLISHED -j ACCEPT
-A net2all -j Drop
-A net2all -j DROP
-A net2fw -m state --state RELATED,ESTABLISHED -m comment --comment "pings" -j ACCEPT
-A net2fw -p icmp -m icmp --icmp-type 8 -m comment --comment "pings" -j ACCEPT
-A net2fw -j Drop
-A net2fw -j DROP
-A net2loc -m state --state RELATED,ESTABLISHED -m comment --comment "Work" -j ACCEPT
-A net2loc -j Drop
-A net2loc -j DROP
-A norfc1918 -s 172.16.0.0/12 -j rfc1918
-A norfc1918 -m conntrack --ctorigdst 172.16.0.0 -j rfc1918
-A norfc1918 -s 192.168.0.0/16 -j rfc1918
-A norfc1918 -m conntrack --ctorigdst 192.168.0.0 -j rfc1918
-A norfc1918 -s 10.0.0.0/8 -j rfc1918
-A norfc1918 -m conntrack --ctorigdst 10.0.0.0 -j rfc1918
-A reject -m pkttype --pkt-type broadcast -j DROP
-A reject -m pkttype --pkt-type multicast -j DROP
-A reject -s 255.255.255.255/32 -j DROP
-A reject -s 224.0.0.0/4 -j DROP
-A reject -p igmp -j DROP
-A reject -p tcp -j REJECT --reject-with tcp-reset
-A reject -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject -p icmp -j REJECT --reject-with icmp-host-unreachable
-A reject -j REJECT --reject-with icmp-host-prohibited
-A rfc1918 -j LOG --log-prefix "Shorewall:rfc1918:DROP:" --log-level 6
-A rfc1918 -j DROP
-A smurfs -s 10.10.30.255/32 -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
-A smurfs -s 10.10.30.255/32 -j DROP
-A smurfs -s 86.102.101.143/32 -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
-A smurfs -s 86.102.101.143/32 -j DROP
-A smurfs -s 255.255.255.255/32 -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
-A smurfs -s 255.255.255.255/32 -j DROP
-A smurfs -s 224.0.0.0/4 -j LOG --log-prefix "Shorewall:smurfs:DROP:" --log-level 6
-A smurfs -s 224.0.0.0/4 -j DROP
-A tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j logflags
-A tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j logflags
-A tcpflags -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j logflags
-A tcpflags -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j logflags
-A tcpflags -p tcp -m tcp --sport 0 --tcp-flags FIN,SYN,RST,ACK SYN -j logflags
COMMIT
# Completed on Tue Nov 16 20:02:19 2010

вот и все...

[AnrDaemon]

Мда...
Я бы сказал, как это по-русски называется, да модераторы обидятся.

[ua0ljj]

Мда...
Я бы сказал, как это по-русски называется, да модераторы обидятся.

что тут не так?
как просили то и прислали

ну подскажите кто нибудь по существу , в чем проблема?
найдется ли нормальный здравомыслящий человек?

а то все прирекаются и по русски выражаются.....

[AnrDaemon]

Проблема в shorewall. Убери этот ужас, настрой правила нормально - всё сразу заработает.

[ua0ljj]

Проблема в shorewall. Убери этот ужас, настрой правила нормально - всё сразу заработает.

в iptables не силен , поэтому пока шореволами размениваюсь...

но неопытным взглядом видно что то мнев это строчке не нравиться?
-A eth1_masq -s 192.168.77.0/24 -j MASQUERADE

[AnrDaemon]

Она не нужна. Маскарадом 192.168. должен заниматься другой роутер, если вообще должен.

[ua0ljj]

Она не нужна. Маскарадом 192.168. должен заниматься другой роутер, если вообще должен.

какой другой роутер?
(который 175 , он и занимается своим делом, только до него еще надо достучаться через промежуточный роутер)

[AnrDaemon]

Вопрос по существу - машины в сети настройки по DHCP получают?

[ua0ljj]

Вопрос по существу - машины в сети настройки по DHCP получают?

неа отключил.

[AnrDaemon]

Опять не понял... Что ты всё проблемы себе создаёшь? Жить неинтересно тебе что ли?
Короче, если сеть 192.168. и надо маскировать, то не -s и -d тогда уже.

[ua0ljj]

Опять не понял... Что ты всё проблемы себе создаёшь? Жить неинтересно тебе что ли?
Короче, если сеть 192.168. и надо маскировать, то не -s и -d тогда уже.

проблем нету.... я специально убрал ДХЦП

от тебя я понял что 192.168 на маскарадить , подскажи как?