маршрутизация на iptables

> по даному правлу все пакеты пришедшие на 10.2.1.2:80 должны отправляться на 172.17.29.254:80 ?
Да, но оно никаким образом не говорит ядру, что в обратных пакетах адрес отправителя нужно с 172.17.29.254 заменять на 10.2.1.2 (ведь удаленный host думает, что общается с 10.2.1.2). Нужен еще SNAT для обратных пакетов:
iptables -t nat -A POSTROUTING -s 172.17.29.254 --sport 80 -j SNAT --to-source 10.2.1.2
Ну и в filter FORWARD не должно быть запретов:
iptables -A FORWARD -d 172.17.29.254 --dport 80 -j ACCEPT
iptables -A FORWARD -s 172.17.29.254 --sport 80 -j ACCEPT

> еше вопрс как сделать чтобы все пакеты из 10.2.1.0/24 отправлялись на 172.17.29.0/24
Сделать из 10.2.1.2 не маршрутизатор, а мост.

> при этом была маскировка?
А что это такое ?

> те чтобы из 10.2.1.0/24 была доступна 172.17.29.0/24....
Так ВСЕ пакеты из 10.2.1.0/24 должны доходить до 172.17.29.0/24 или не все ? Например, broadcast-ы должны доходить или нет ? Если нет, то сойдет и 10.2.1.2 как маршрутизатор, иначе нужен мост (хотя зачем вам такое понадобилось ?).

есля точнее нужно чтобы из 172.17.29.0/24 можно было работать с самбой, фтп хттп и прочее... а из 10.2.1.0/24 не видно было видно 172.17.29.0/24... ну я вроде как решил даную задачу таким способом echo 1 > /proc/sys/net/ipv4/ip_forward iptables -P FORWARD DROP iptables -A FORWARD -d 172.17.29.0/24 -i eth1 -j ACCEPT iptables -t nat -A POSTROUTING -s 172.17.29.0/24 -o eth1 -j SNAT --to-source 10.2.1.2 iptables -A FORWARD -s 172.17.29.0/24 -o eth1 -j ACCEPT

теперь нужно чтобы пакеты пришедшие на 10.2.1.2:80 отправлялись на 172.17.29.11:80 те чтобы выглядело как будто на 10.2.1.2 стоит веб сервер....

извеняюсь что повторяю свой пост, но ананимусу нельзя свои посты вроде как редактить))

есля точнее нужно чтобы из 172.17.29.0/24 можно было работать с самбой, фтп хттп и прочее... а из 10.2.1.0/24 не видно было видно 172.17.29.0/24... ну я вроде как решил даную задачу таким способом

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -P FORWARD DROP iptables -A FORWARD -d 172.17.29.0/24 -i eth1 -j ACCEPT

iptables -t nat -A POSTROUTING -s 172.17.29.0/24 -o eth1 -j SNAT --to-source 10.2.1.2

iptables -A FORWARD -s 172.17.29.0/24 -o eth1 -j ACCEPT

теперь нужно чтобы пакеты пришедшие на 10.2.1.2:80 отправлялись на 172.17.29.11:80 те чтобы выглядело как будто на 10.2.1.2 стоит веб сервер....

>что такое маскировка в смылсе НАТ

вобшем часть зачи решил... вот что сделал 10.3.0.0/16 -локалка 1 прова eth0 172.17.29.0/24 -локалка 2 прова - eth1 10.2.1.0/24 локалка моя xx.xx.xx.xx/32 мой внешний ипшник у 1 прова

iptables -A FORWARD -s 10.3.0.0/16 -d 10.2.1.0/24 -i eth0 -j ACCEPT iptables -A FORWARD -d 10.3.0.0/16 -s 10.2.1.2 -o eth0 -j ACCEPT

iptables -A FORWARD -s 172.17.29.0/24 -d 10.2.1.0/24 -i eth1 -j ACCEPT iptables -A FORWARD -d 172.17.29.0/24 -s 10.2.1.2 -o eth1 -j ACCEPT

iptables -A FORWARD -s 0.0.0.0/0 -d 10.2.1.0/24 -i ppp0 -j ACCEPT iptables -A FORWARD -d 0.0.0.0/0 -s 10.2.1.2 -o ppp0 -j ACCEPT

iptables -t nat -A POSTROUTING -d 10.3.0.0/16 -s 10.2.1.0/24 -o eth0 -j SNAT --to-source 10.3.11.74 iptables -t nat -A POSTROUTING -d 172.17.29.0/24 -s 10.2.1.0/24 -o eth1 -j SNAT --to-source 172.17.29.133 iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -s 10.2.1.0/24 -o ppp0 -j SNAT --to-source xx.xx.xx.xx

теперь вопрос, как сделать чтобы можно было пользоваться фтпшником на машинке 10.2.1.2?? еше в планах выборочно соеденить локалки 2х провов...))