Прошивка от http://wl500g.info/showthread.php?t=17136 +
http://wl500g.info/showthread.php?t=21889
Есть городская сеть, к которой подключены два wl500gP
Первый: MAN - 10.251.x.y MASK 255.255.255.0 GW 10.251.x.254 LAN 192.168.1.*
Второй : MAN - 10.251.z.w MASK 255.255.255.0 GW 10.251.z.254 LAN 192.168.2.*
WAN у обоих это PPTP
Заданы роуты на обеих роутерах
Network/HostIP Netmask Gateway Metric Interface
10.0.0.0 255.0.0.0 0.0.0.0 1 MAN
Для первого роутера с LAN 192.168.1.*
Code:
# Очищаем все правила в цепочке POSTROUTING
iptables -t nat -F POSTROUTING
# Маскардинг на исходящие пакеты с wan/man интерфейсов при условии что они не предназначены для сети 192.168.1.0/12
iptables -t nat -A POSTROUTING -o $1 -s ! $2 -d ! 192.168.1.0/12 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $5 -s ! $6 -d ! 192.168.1.0/12 -j MASQUERADE
# Полезное правило. Догадайтесь, зачем оно ;) ($3=br0)
iptables -t nat -A POSTROUTING -o $3 -s $(nvram get lan_ipaddr)/$(nvram get lan_netmask) -d $(nvram get lan_ipaddr)/$(nvram get lan_netmask) -j MASQUERADE
и потом:
Code:
# Разрешаем проходящие пакеты. Мак адрес здесь защита от дурака.
iptables -I FORWARD -i vlan1 -o br0 -d 192.168.2.0/12 -m mac --mac-source мак_адрес_роутера_№2 -j ACCEPT
# На случай, если кто до роутера захочет докопатся
iptables -I FORWARD -i vlan1 -d 192.168.2.1 -j DROP
# Правила нужно прописывать именно в этой последовательности
Для второго роутера с LAN 192.168.2.*
Code:
# Очищаем все правила в цепочке POSTROUTING
iptables -t nat -F POSTROUTING
# Маскардинг на исходящие пакеты с wan/man интерфейсов при условии что они не предназначены для сети 192.168.2.0/12
iptables -t nat -A POSTROUTING -o $1 -s ! $2 -d ! 192.168.2.0/12 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $5 -s ! $6 -d ! 192.168.2.0/12 -j MASQUERADE
# Полезное правило. Догадайтесь, зачем оно ;) ($3=br0)
iptables -t nat -A POSTROUTING -o $3 -s $(nvram get lan_ipaddr)/$(nvram get lan_netmask) -d $(nvram get lan_ipaddr)/$(nvram get lan_netmask) -j MASQUERADE
и потом:
Code:
# Разрешаем проходящие пакеты. Мак адрес здесь защита от дурака.
iptables -I FORWARD -i vlan1 -o br0 -d 192.168.1.0/12 -m mac --mac-source мак_адрес_роутера_№1 -j ACCEPT
# На случай, если кто до роутера захочет докопатся
iptables -I FORWARD -i vlan1 -d 192.168.1.1 -j DROP
# Правила нужно прописывать именно в этой последовательности
все верно я исправил?
Если адреса 10.251.x.y и 10.251.z.w постоянные можно еще навесить защиту чтоб пропускала только с этих адресов?