раздать инет с порта eth0 при условии, что по wlan0 интернет на комп приходит

Всё очень просто, допустим:

IP адрес wlan0: 192.168.10.1/24

IP адрес eth0: 192.168.20.1/24

Теперь достаточно включить прохождение пакетов между интерфейсами:

echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/10-forward.conf
sysctl --system

И добавить правило в iptables:

iptables -t nast -A POSTROUTING -s 192.168.20.0/24 -j MASQUERADE

Политики цепочек должны быть ACCEPT

:PREROUTING ACCEPT [221172:26532249]
:INPUT ACCEPT [129216:6987438]
:OUTPUT ACCEPT [70019:5409991]
:POSTROUTING ACCEPT [66965:5110262]

Теперь клиентам достаточно прописать IP адрес из сети 192.168.20.0/24, указать шлюз 192.168.20.1 и прописать DNS сервер, например 8.8.8.8.

Что бы не делать это руками подними DHCP сервер.

подправлю, вместо

iptables -t nast -A POSTROUTING -s 192.168.20.0/24 -j MASQUERADE

надо

iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -j SNAT --to-source 192.168.10.1

ты лучше расскажи как к Старлинку подключился.

Да вроде и не обязательно. Маскарадинг более требователен к ресурсам, но я думаю, у ТСа не 10000+ клиентов одновременно NATироваться будут.

там ошибка в названии таблицы. ну и двойной просмотр маршрутизации - лишняя сущность, добавляющая путаницу

А вот если nftable? Как такое же сделать? Проще ли в новой поделке

Да, действительно опечатка, должно быть nat, а не nast.

ого! загуглил разницу между ними, пойду срочно менять правила на подкроватном локалхосте :)

спасибо за информацию)

Вот nftables: https://wiki.nftables.org/wiki-nftables/index.php/Performing_Network_Address_Translation_(NAT)

Вроде несложно, только я синтаксиса nftables не знаю и как по мне писать нужно несколько больше конструкций.

должно быть точно не сложнее и не проще, но соглашусь с анонимом, меня от синтаксиса коробит. хотя пора бы и переползать по-хорошему.

Поделись ссылкой про разницу

Да там все просто, без ссылки очевидно: при маскарадинге каждый пакет проверяется на соответствующий default route decision, чтобы вычислить, какой же ip использовать. В случае с SNAT ты сразу указываешь фиксированно, как пойдет пакет. Ну вобщем, кроме как провайдерский dhcp сложно юзкейс придумать, зачем это может быть нужным.

мне бы в одной подсети, то есть wlan0 192.168.10.2 а eth0 192.168.10.1, так можно?

хотя пора бы и переползать

с net-tools всё никак слезть не могут, а всё потому, что ifconfig для людей, в отличии от iproute2: «ip a, - у тебя три секунды чтобы найти свой айпи» )))

с iptables уверен, будет та же ситуация. P.S. до встречи в 2030 году чтобы подтвердить мои слова :)

в отличии от iproute2: «ip a, - у тебя три секунды чтобы найти свой айпи» )))

ip a s

это надо делать мост, не всякий драйвер wifi-адаптера так умеет

Или городить proxy arp - если умеешь, то там ничего сложного, а если нет - может поначалу слегка взорвать мозг

ну ок, ко взрыву мозга готов)

Но лучше мост.

Но лучше мост.

1. Удаляешь все ip-адреса с eth0 и wlan0:
Для каждого адреса вызываешь

ip addr del ip/mask dev device_name

ip link add br0 up type bridge

ip link set device_name master br0

ip addr add ip/mask dev br0

Если на этапе 3 при добавлении wlan0 в мост выдало что-то наподобие «Error: Operation not permitted», значит с мостом не судьба - драйвера wi-fi чипа не поддерживают. Тогда нужно смотреть в сторону маршрутизации и/или proxy arp.

Если всё окей, тогда следующий этап: как это сделать на постоянной основе в генте -

bzless /usr/share/doc/netifrc-0.7.1/net.example.bz2

Так, а устройство-мост будет одним айпи? И на нём можно будет вручную назначить то, что сейчас назначено на wlan0(адрес, маска, шлюз и маршрут)?

Так, а устройство-мост будет одним айпи? И на нём можно будет вручную назначить то, что сейчас назначено на wlan0(адрес, маска, шлюз и маршрут)?

Да, именно в этом и смысл моста - объединение двух(или более) физически-разделенных сегментов сети в один канальный.

Так, а устройство-мост будет одним айпи? И на нём можно будет вручную назначить то, что сейчас назначено на wlan0(адрес, маска, шлюз и маршрут)?

нужно, это смысл моста.

Сделал( исправив ошибку с опечаткой), чёт пинги дальше раздающего устройства не идут