Originally Posted by
Reyter
Ну вот теперь все прояснилось.
Дождемся результатов полевых испытаний правил от tchaynik, и тему можно будет считать полностью раскрытой.
Все работает. Большушее спасибо. Пока не придумал как заставить винду видеть компы из другой сетки, но по IP видно.
Более детально отпишусь как время будет.
Я в post-firewall обоих роутеров дописал правила по очистке nat:
Code:
# Очищаем все правила в цепочке POSTROUTING
iptables -t nat -F POSTROUTING
# Маскардинг на исходящие пакеты с wan/man интерфейсов при условии что они не предназначены для сети 192.168.0.0/24
iptables -t nat -A POSTROUTING -o $1 -s ! $2 -d ! 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $5 -s ! $6 -d ! 192.168.0.0/24 -j MASQUERADE
# Полезное правило. Догадайтесь, зачем оно ;) ($3=br0)
iptables -t nat -A POSTROUTING -o $3 -s $(nvram get lan_ipaddr)/$(nvram get lan_netmask) -d $(nvram get lan_ipaddr)/$(nvram get lan_netmask) -j MASQUERADE
и потом:
Code:
# Разрешаем проходящие пакеты. Мак адрес здесь защита от дурака.
iptables -I FORWARD -i vlan1 -o br0 -d 192.168.x.0/24 -m mac --mac-source мак_адрес_соседнего_роутера -j ACCEPT
# На случай, если кто до роутера захочет докопатся
iptables -I FORWARD -i vlan1 -d 192.168.x.1 -j DROP
# Правила нужно прописывать именно в этой последовательности