Маршрутизация + iptables

[aviacliff]

Всем доброго здоровья!

В примере от Гарри ( Тема: [FAQ] Расшариваем интернет на второй компьютер ) имеем:
eth0 – получает IP адрес из интернета по dhcp
eth1 -  сеть для раздачи клиентам


Интерфейс eth0 получает динамический IP адреса по dhcp сети 192.168.0.0/24, на eth1   прописан статический IP адрес 192.168.0.1.
При помощи маскарадинга осуществляется NAT.

в /etc/network/interfaces

Код: [Выделить]

auto lo
iface lo inet loopback
     
post-up iptables-restore </etc/iptables.conf

auto eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet static
     address 192.168.0.1
     netmask 255.255.255.0

А если нужно организовать 3 сети (например 192.168.9.0/24,  192.168.10.0/24,  192.168.11.0/24) на интерфейсе eth1.

Изменим несколько условие, а именно, зададим на eth1 вместо 192.168.0.1 адрес 192.168.9.7 (сеть 192.168.9.0/24)

Код: [Выделить]

auto lo
iface lo inet loopback
     
post-up iptables-restore </etc/iptables.conf

auto eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet static
     address 192.168.9.7
     netmask 255.255.255.0
Для того что бы все заработало, вероятно, нужно прописать маршрут и переписать правило маскарадинга в  iptable.

Должны получить следующие записи:

Код: [Выделить]

auto lo
iface lo inet loopback
     
post-up iptables-restore </etc/iptables.conf

auto eth0
iface eth0 inet dhcp

up route add -net 192.168.9.0/24 gw 192.168.0.1 eth1
auto eth1
iface eth1 inet static
     address 192.168.9.1
     netmask 255.255.255.0
в файле iptable:

Код: [Выделить]

iptables -F FORWARD # На всякий случай очистим цепочку FORWARD
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT # Разрешаем проходить пакетам по уже установленным соединениям
iptables -A FORWARD -m conntrack --ctstate NEW -i eth1 -s 192.168.9.0/24 -j ACCEPT # Разрешаем исходящие соединения из локальной сети к интернет-хостам
iptables -P FORWARD DROP # Весь остальной транзитный трафик — запрещаем.
iptables -t nat -F POSTROUTING # На всякий случай очистим цепочку POSTROUTING таблицы nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # Маскарадим весь трафик, идущий через eth0

Вопрос: Правило о маршрутизации должно работать в связке с правилом межсетевого экрана iptable?
Или маршрутизацию (up route add -net 192.168.9.0/24 gw 192.168.0.1 eth1) убрать, маскарадинг сам справится?

[koshev]

Вот это

Код: (text) [Выделить]

up route add -net 192.168.9.0/24 gw 192.168.0.1 eth1Вообще не надо. Вы куда пакеты шлёте?
Дальше

А если нужно организовать 3 сети (например 192.168.9.0/24,  192.168.10.0/24,  192.168.11.0/24) на интерфейсе eth1.

VLAN
iptables к маршрутизации имеет косвенное отношение.

[AnrDaemon]

Интерфейс eth0 получает динамический IP адреса по dhcp сети 192.168.0.0/24, на eth1   прописан статический IP адрес 192.168.0.1.

Чего-чего? Как сказал один один книжный герой - работать не будет. Именем Гуся.

[fisher74]

Чего-чего?

Это у него лимит на знаки препинания. Вот и получилось "казнить нельзя помиловать"

А ТС нужно переосмыслить бытие и вновь озвучить задачу.
Переосмыслить в плане необходимости 3-х подсетей на одной сетевой. Так как это эффективно, как правильно сказал KT315, только при использовании VLAN, а, соответственно, свичи должны поддерживать vlan (далеко не все это умеют и тем более из бюджетных). Может дешевле и проще 3 сетевых? Всё зависит от конечной задачи.

[aviacliff]

На выходных высвободится одна из моих ласточек (компьютер), попробую конкретизировать ситуацию.