iptables - Открыть полный доступ между двумя сетками.

видимо дальнейшие правила не дают.

сделай

iptables -I FORWARD -j ACCEPT

Если так сделать то все ок, но мне такой открытости не надо... надо что б в FORWARD было всё хорошо...

В FORWARDE и првил то нет.. вот :
iptables -A FORWARD -i eth1 -o eth0 - j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

вот и все правила...

Покажи вывод iptables-save

> iptables -A FORWARD -i eth1 -o eth0 - j ACCEPT

что есть 'eth1' и 'eth0'? если это то, что я думаю, поставь после этого правила

iptables -A FORWARD -i eth0 -o eth1 -s 212.2.2.0/25 - j ACCEPT

на lan1, ну и соответственно

iptables -A FORWARD -i eth0 -o eth1 -s 212.1.1.0/25 - j ACCEPT

на lan2

Не путаемся. Дальнейшие правила влиять тут не могут. Только те, что были _до_ этого правила.

>что есть 'eth1' и 'eth0'? если это то, что я думаю, поставь после этого правила

eth0 - смотрит в инет
eth1 - смотрит в локалку

>iptables -A FORWARD -i eth0 -o eth1 -s 212.2.2.0/25 - j ACCEPT
>iptables -A FORWARD -i eth0 -o eth1 -s 212.1.1.0/25 - j ACCEPT

эти правила не помогают

[root@iserver sysconfig]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.3.8 on Thu Jan 10 18:51:41 2008
*filter
:INPUT DROP [4224:344932]
:FORWARD DROP [240207:11958460]
:OUTPUT ACCEPT [2977375:1845816991]
-A INPUT -p icmp -m limit --limit 3/sec --limit-burst 6 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -s 212.2.2.0/255.255.255.128 -i eth1 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 212.2.2.32 -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -s 212.1.1.0/255.255.255.128 -d 212.2.2.0/255.255.255.128 -i eth0 -j ACCEPT
-A FORWARD -d 212.2.2.32 -i eth0 -p tcp -m tcp --dport 7777 -j ACCEPT
-A FORWARD -d 212.2.2.32 -i eth0 -p tcp -m tcp --dport 2106 -j ACCEPT
-A FORWARD -d 212.2.2.30 -i eth0 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -d 212.2.2.32 -i eth0 -p udp -m udp --dport 27016 -j ACCEPT
-A FORWARD -d 212.2.2.32 -i eth0 -p udp -m udp --dport 27017 -j ACCEPT
-A FORWARD -d 212.2.2.32 -i eth0 -p tcp -m tcp --dport 27020:27039 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 4000 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 6112 -j ACCEPT
-A FORWARD -p udp -m udp --dport 6112 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Jan 10 18:51:41 2008
# Generated by iptables-save v1.3.8 on Thu Jan 10 18:51:41 2008
*nat
:PREROUTING ACCEPT [718657:38512694]
:POSTROUTING ACCEPT [509873:26271170]
:OUTPUT ACCEPT [74645:4489646]
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 21 -j REDIRECT --to-ports 2121
COMMIT
# Completed on Thu Jan 10 18:51:41 2008
# Generated by iptables-save v1.3.8 on Thu Jan 10 18:51:41 2008
*mangle
:PREROUTING ACCEPT [30158604:4146521438]
:INPUT ACCEPT [2834065:1833380936]
:FORWARD ACCEPT [27288858:2309311972]
:OUTPUT ACCEPT [2977773:1846359831]
:POSTROUTING ACCEPT [30026113:4143698931]
COMMIT
# Completed on Thu Jan 10 18:51:41 2008
[root@iserver sysconfig]#