WAN - ppp0 - собственно источник инета
LAN - br0 - внутренняя сеть
MAN - vlan1 - сеть провайдера, за роутером, через которую осуществляется доступ к WAN
Хотелось бы чтоб через шлюз моего роутера могли ходить не только пользователи LANа, но и пользователи MANа
вот мои таблицы:
Code:
[odmin@(none) root]$ iptables -L -nv
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
497 94408 MACS all -- br0 * 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
649 94250 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 state NEW
60 15254 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 state NEW
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 flags:0x17/0x02
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 flags:0x17/0x02
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:33434:33534
61 4920 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 64 packets, 5511 bytes)
pkts bytes target prot opt in out source destination
206 19046 MACS all -- br0 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
21 1028 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
339 58708 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- !br0 ppp0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- !br0 vlan1 0.0.0.0/0 0.0.0.0/0
3 144 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT
0 0 DROP all -- * br0 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 872 packets, 393K bytes)
pkts bytes target prot opt in out source destination
Chain BRUTE (0 references)
pkts bytes target prot opt in out source destination
Chain MACS (2 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:30:67:22:09:24
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:23:4D:23:55:47
563 61600 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 MAC 00:30:4F:5B:D3:E2
140 51854 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain SECURITY (0 references)
pkts bytes target prot opt in out source destination
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 1/sec burst 5
0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5
0 0 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 5/sec burst 5
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain logaccept (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `ACCEPT '
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain logdrop (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags 7 level 4 prefix `DROP '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
по сути ничем не отличается от таблиц пользователя TheSAS кроме того что у меня интерфейс MAN носит название vlan1 а у него eth1
тем не менее решение подошедшее пользователю TheSAS мне почему-то не подходит, изменение таблицы FORWARD на такую:
Code:
Chain FORWARD (policy ACCEPT 64 packets, 5511 bytes)
pkts bytes target prot opt in out source destination
206 19046 MACS all -- br0 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
21 1028 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
339 58708 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT all -- vlan1 ppp0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- !br0 ppp0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- !br0 vlan1 0.0.0.0/0 0.0.0.0/0
3 144 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT
0 0 DROP all -- * br0 0.0.0.0/0 0.0.0.0/0
ни к каким последствиям не приводит
вот мои маршруты:
route -n
Code:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
172.17.192.240 172.17.183.1 255.255.255.255 UGH 1 0 0 vlan1
172.17.192.252 172.17.183.1 255.255.255.255 UGH 1 0 0 vlan1
172.17.192.254 172.17.183.1 255.255.255.255 UGH 1 0 0 vlan1
91.211.16.128 172.17.183.1 255.255.255.128 UG 0 0 0 vlan1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
172.17.183.0 0.0.0.0 255.255.255.0 U 0 0 0 vlan1
192.168.0.0 172.17.183.1 255.255.0.0 UG 0 0 0 vlan1
172.16.0.0 172.17.183.1 255.240.0.0 UG 0 0 0 vlan1
10.0.0.0 172.17.183.1 255.0.0.0 UG 0 0 0 vlan1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 91.211.16.57 0.0.0.0 UG 0 0 0 ppp0
0.0.0.0 172.17.183.1 0.0.0.0 UG 1 0 0 vlan1
временно пришлось поставить перед роутером свитч и втыкнуть в него патчкорды из WAN(MAN) и LAN выходов, но это не вариант ((
помогите плз, что я делаю не так?