Господа. прошу прокомментировть, пожалуйста, что все-таки надо сделать, чтобы активировать роутинг через только что созданный WAN2 ?
Маршруты созданы правильно? (посты на этой странице выше,
920,
922) Кстати, не правильнее ли будет заменить "via WAN2_IP" на "dev vlan2" или так нельзя?
Чтобы активировать NAT достаточно этого?:
[post-firewall]
...
iptables -t nat -A PREROUTING -d 10.10.12.34 -j VSERVER #я правильно понял, это отправляет все пакеты с WAN2 на общие правила, задаваемые Веб-интерфейсом?
iptables -A POSTROUTING -s ! 10.10.12.34 -o vlan2 -j MASQUERADE # Это создает аналог SNAT для моего софта в LAN
iptables -A INPUT -i vlan2 -m state --state NEW -j SECURITY # это объект фильтрации типа пакетов, создаваемый ASUS ?
iptables -A FORWARD -i ! br0 -o vlan2 -j DROP #Запрещаем все что не из LAN. Т.е. исключаем мост WAN1-WAN2 ?
iptables -A OUTPUT -s 1.1.1.1 -o vlan2 -j ACCEPT # ЧТО ЭТО!? Содрал из iptables-save у Asus-а
iptables -A OUTPUT -s 10.10.0.1 -o vlan2 -j ACCEPT # ЧТО ЭТО!? Разрешение всем обработанным пакетам идти на шлюз в сети WAN2? Содрал там же.
iptables -A OUTPUT -o vlan2 -2 DROP # видимо обычная затычка для всего неизвестного и непонятного.
?? Это верно, или не так? (Вторая строка вообще нужна? Асус ее создает иначе:
-A FORWARD -i br0 -j ACCEPT )
Для меня важно, чтобы интерфейс был прикрыт не хуже чем родной WAN1 и без моста WAN1-WAN2 (а я в том что пишу мало понимаю
)
Я почему-то хочу добавлять правила в post-firewall к тому что создаются с пом. Веб-интерфейса, там наглядно-как-то выглядит.
В общем, не работает.
Что исправить?
-------------------------------------
А еще читаю статьи, говорят процессор меньше грузится, если использовать -j SNAT --to-source . Как написать через SNAT? Все IP WAN1, WAN2 статические по MAC-ам, выход в интернет через обычные IP шлюзы с NAT, никаких ppp.
Так же пишут, бывает таблица RAW, которую удобно использовать для веб-серверов. Для емуля такую штуку реально прописать, или прошивка не поддерживает?