Три сети. IPtables. Маршрутизация.

[artem-moskvin]

iptables-save показуйте.

Вот:

(Нажмите, чтобы показать/скрыть)

artem-moskvin@server:~$ sudo iptables-save
[sudo] password for artem-moskvin:
# Generated by iptables-save v1.4.12 on Mon Feb 11 22:59:23 2013
*mangle
:PREROUTING ACCEPT [339623:232175083]
:INPUT ACCEPT [338033:231923774]
:FORWARD ACCEPT [1590:251309]
:OUTPUT ACCEPT [233789:16239943]
:POSTROUTING ACCEPT [234941:16449986]
COMMIT
# Completed on Mon Feb 11 22:59:23 2013
# Generated by iptables-save v1.4.12 on Mon Feb 11 22:59:23 2013
*filter
:INPUT ACCEPT [337529:231887902]
:FORWARD ACCEPT [1590:251309]
:OUTPUT ACCEPT [233271:16189794]
-A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 10.10.13.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22
-A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 1194 -j ACCEPT
-A INPUT -s 10.10.13.0/24 -p tcp -m tcp --dport 1194 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1194
-A INPUT -s 10.10.13.0/24 -p tcp -m tcp -m multiport --ports 9000 -j ACCEPT
-A INPUT ! -s 192.168.1.0/24 -p tcp -m tcp -m multiport --ports 9000 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -s 10.10.13.0/24 -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT ! -s 192.168.1.0/24 -p tcp -m tcp -m multiport --ports 10000
-A INPUT -s 10.10.13.0/24 -p tcp -m tcp --dport 8088 -j ACCEPT
-A INPUT ! -s 192.168.1.0/24 -p tcp -m tcp -m multiport --ports 8088
-A FORWARD -s 10.10.13.0/24 -j ACCEPT
-A FORWARD -d 10.10.13.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Mon Feb 11 22:59:23 2013
# Generated by iptables-save v1.4.12 on Mon Feb 11 22:59:23 2013
*nat
:PREROUTING ACCEPT [864:71317]
:INPUT ACCEPT [299:25404]
:OUTPUT ACCEPT [1742:109685]
:POSTROUTING ACCEPT [2307:155598]
-A POSTROUTING -s 10.10.13.0/24 -j SNAT --to-source 192.168.1.215
COMMIT
# Completed on Mon Feb 11 22:59:23 2013

[AnrDaemon]

-A POSTROUTING -s 10.10.13.0/24 -j SNAT --to-source 192.168.1.215

Нахрена?

[artem-moskvin]

-A POSTROUTING -s 10.10.13.0/24 -j SNAT --to-source 192.168.1.215

Нахрена?

Чтобы можно было "видеть" клиентов 192.168.1.* из 10.10.13.*

Могу быть неправ, не очень в этом разбираюсь.

[AnrDaemon]

Неправы. Это ошибочная строчка.

[ArcFi]

IP клиента в локалке: 192.168.1.200
Хочу с него добиться доступа к 10.10.11.29.

OK

Если это тот самый вендовый хост, настройки которого вы показывали выше, то где у него маршрут на 10.10.11.0/24?

[Humpty]

Неправы. Это ошибочная строчка.

Ну почему же?
С ней маршруты можно не писать.

[AnrDaemon]

Ага, как вы заметили, с ней можно не мучаться писать маршруты - всё равно ничерта работать не будет. Она весь трафик блокирует.

[artem-moskvin]

IP клиента в локалке: 192.168.1.200
Хочу с него добиться доступа к 10.10.11.29.

OK

Если это тот самый вендовый хост, настройки которого вы показывали выше, то где у него маршрут на 10.10.11.0/24?

Виндовый хост в 10.10.13.*. Маршрут где, я не знаю.
Пользователь решил продолжить мысль 12 Февраля 2013, 08:44:35:

Ага, как вы заметили, с ней можно не мучаться писать маршруты - всё равно ничерта работать не будет. Она весь трафик блокирует.

То есть достаточно убрать -A POSTROUTING -s 10.10.13.0/24 -j SNAT --to-source 192.168.1.215 будет работать маршрутизация так, как хочу я?

[ArcFi]

То есть достаточно убрать -A POSTROUTING -s 10.10.13.0/24 -j SNAT --to-source 192.168.1.215

Нет.
На 10.10.13.6 отсутствует маршрут на 10.10.11.0/24.

[artem-moskvin]

То есть достаточно убрать -A POSTROUTING -s 10.10.13.0/24 -j SNAT --to-source 192.168.1.215

Нет.
На 10.10.13.6 отсутствует маршрут на 10.10.11.0/24.

А зачем он? Если сервер на 10.10.13.6 указан как Gateway, то они должны сами прописываться.

[ArcFi]

А зачем он? Если сервер на 10.10.13.6 указан как Gateway, то они должны сами прописываться.

Вы на метрику смотрели?

[artem-moskvin]

А зачем он? Если сервер на 10.10.13.6 указан как Gateway, то они должны сами прописываться.

Вы на метрику смотрели?

Так, да. Косяк.
Что сделать, чтобы маршруты прописались? Прописать их на сервере?

[ArcFi]

Что сделать, чтобы маршруты прописались? Прописать их на сервере?

Короче, 3 варианта:
1) прописываем маршруты до всех нужных сетей на каждом из клиентов, либо руками, либо скриптами, либо через DHCP, если осилите;
2) прописываем маршруты до всех нужных сетей на дефолтном шлюзе;
3) если возможно, делаем этот шлюз дефолтным, и все проблемы решаются сами собой.

Дефолтный шлюз имеется ввиду с учётом метрики.

[artem-moskvin]

Что сделать, чтобы маршруты прописались? Прописать их на сервере?

Короче, 3 варианта:
1) прописываем маршруты до всех нужных сетей на каждом из клиентов, либо руками, либо скриптами, либо через DHCP, если осилите;
2) прописываем маршруты до всех нужных сетей на дефолтном шлюзе;
3) если возможно, делаем этот шлюз дефолтным, и все проблемы решаются сами собой.

Дефолтный шлюз имеется ввиду с учётом метрики.

>>2) прописываем маршруты до всех нужных сетей на дефолтном шлюзе;
>>3) если возможно, делаем этот шлюз дефолтным, и все проблемы решаются сами собой.
Шлюз сейчас и так дефолтный. Как прописать на нем маршруты?

[ArcFi]

Шлюз сейчас и так дефолтный.

Сейчас у вас вот так:

Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      10.10.11.33       10.10.13.6    286
          0.0.0.0          0.0.0.0     192.168.1.20    192.168.1.200     25
          0.0.0.0        128.0.0.0       10.10.13.5       10.10.13.6     30

Да?