Пожалуйста, опишите вашу проблему. Из вашего поста ничего не понятно.

провайдер раздает интернет через vpn соединение. eth0 - сетевая карточка на которую идет витая пара от провайдера. eth1 - сетевая карточка с нее идет витая пара на второй комп. как сделать, что бы интернет был на обоих компах, но без свичей и т.п. ppp0 - vpn соединение (выход в инет) на первом компе. с linux недавно начал дружить.

В гугл животное

на ЛОРе все такие культурные? в какую сторону хоть копать?

На втором компе ставишь шлюзом по умолчанию 1й комп, на 1м компе в /etc/sysctl.conf дописываешь sys.net.ipv4.ip_forward=1 и делаешь sysctl -p.

Всё.

Ага, и ещё

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Это если уж провайдер из тех, что банально огорожены. Тогда ещё и mtu может потребоваться поправить и маппинг портов делать. Надеюсь, что до этого не дойдёт, вобщем.

СПАСИБО, делаете человеку медвежью услугу, так он пошел бы и почитал, глядишь ума набрался б и понял что 95% решения траблов уже кем-то решались. А ж нет, нужно быть доброжелательными и всем попу на поворотах заносить.

Это если уж провайдер из тех, что банально огорожены

Не понял как это кореллирует с натом.

итого:

/etc/sysctl.conf
sys.net.ipv4.ip_forward=1

iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE


p.s. Подробнее читай:
man iptables
man route

Улыбнуло :) Убери свои эти правила, политика -P ACCEPT на все цепочки

p.s. Подробнее читай:

man iptables

man route

у меня DROP в политиках ;-)

p.s. Подробнее читай:
man iptables
man route

Ладно, ладно не отмазывайся :) Мы говорим про ТС.

>на ЛОРе все такие культурные? в какую сторону хоть копать?

http://www.linux.org.ru/jump-message.jsp?msgid=5289912&cid=5290021
тут если поиском по ЛОРу глянуть, минимум два раза в неделю именно этот вопрос задают, так что я согласен с анонимусом.

Легко и просто. Если провайдер банально ограждает пользователей, то он не поленится проверить, чтобы mtu у всех пакетов был одинаковый. Аналогично с портами произойдёт - при маскарадинге они все как один очень высокие - можно попробовать их резать.

>Если провайдер банально ограждает пользователей, то он не поленится проверить, чтобы mtu у всех пакетов был одинаковый.

Еще TTL, в первую очередь. Впрочем, таблица mangle поможет в обоих случаях.

Аналогично с портами произойдёт - при маскарадинге они все как один очень высокие - можно попробовать их резать.

А ничего, что высокие порты используются в качестве исходящих обычными приложениями (браузерами, асечками и т.п.)?

Кстати, в SNAT можно указать диапазон портов, которые будут использоваться в качестве исходящих во внешней сети. Можно хоть на 1:1024 замапить, если там на серваке не висит никто.

Аналогично с портами произойдёт - при маскарадинге они все как один очень высокие - можно попробовать их резать.

Это, так теория или из личного опыта. И что значит высокие? Какое отношение имеет src port, он же остаётся неизменным, тот src port, с которого обращается клиент, например броузер o_O

tcp      6 431984 ESTABLISHED src=10.0.0.2 dst=74.125.232.19 sport=49796 dport=80 packets=4 bytes=853 src=74.125.232.19 dst=192.168.1.44 sport=80 dport=49796 packets=3 bytes=379 [ASSURED] mark=0 secmark=0 use=1

дамп другой сессии, но сути не меняет

00:13:47.006080 IP 10.0.0.2.49792 > 74.125.232.19.www: P 868072714:868073209(495) ack 3174764480 win 432 <nop,nop,timestamp 3
218383 1118669058>
00:13:47.074839 IP 74.125.232.19.www > 10.0.0.2.49792: . ack 495 win 131 <nop,nop,timestamp 1118692267 3218383>
00:13:47.145192 IP 74.125.232.19.www > 10.0.0.2.49792: . 1:1441(1440) ack 495 win 131 <nop,nop,timestamp 1118692334 3218383>
00:13:47.146081 IP 10.0.0.2.49792 > 74.125.232.19.www: . ack 1441 win 613 <nop,nop,timestamp 3218523 1118692334>
00:13:47.146490 IP 74.125.232.19.www > 10.0.0.2.49792: P 1441:2212(771) ack 495 win 131 <nop,nop,timestamp 1118692334 3218383
>

Всё правильно!

root@monday:~# iptables -t nat -A POSTROUTING -p tcp -j SNAT --to-source 192.168.1.44:1025-2025

root@monday:~# conntrack -L -s 10.0.0.2 -p tcp
tcp      6 110 TIME_WAIT src=10.0.0.2 dst=194.87.0.50 sport=58207 dport=80 packets=5 bytes=519 src=194.87.0.50 dst=192.168.1.44 sport=80 dport=1025 packets=4 bytes=1228 [ASSURED] mark=0 secmark=0 use=1

Вот он dport=1025, с этого порта и будет обращение на провайдерский шлюз.

Легко и просто. Если провайдер банально ограждает пользователей, то он не поленится проверить, чтобы mtu у всех пакетов был одинаковый. Аналогично с портами произойдёт - при маскарадинге они все как один очень высокие - можно попробовать их резать.

Расскажите пожалуйста что такое mtu пакета и как его проверять?

>Расскажите пожалуйста что такое mtu пакета и как его проверять?

Наверное, человек TCP MSS имел в виду.

Человек имел ввиду TTL видимо. Только незнание матчасти не позволило блеснуть, видимо, если такие ошибки допускаются. А проверять tcp mss дело гиблое и главное не ясно зачем, нат то никак такими проверками не обнаружить и ни один провайдер этим не занимается. Кроме того даже и без ната коннекты с высоких портов - нормальное дело, можете netstat -pnt глянуть.

>Кроме того даже и без ната коннекты с высоких портов - нормальное дело, можете netstat -pnt глянуть.

Я уже писал об этом выше.