Супер тупой вопрос по сетям :(

На первом компе в роут подсетку второго добавь.

ничерта не дает :(
На первом (192.0.60.5/192.0.70.3):
192.0.60.0 * 255.255.255.0 U eth0
192.0.70.0 * 255.255.255.0 U eth1
default 192.0.60.7 0.0.0.0 UG eth0


На втором (192.0.70.5):
192.0.60.0 * 255.255.255.0 U eth0
192.0.70.0 * 255.255.255.0 U eth0
default 192.0.70.3 0.0.0.0 UG eth0

echo "1">/proc/sys/net/ipv4/ip_forward на первом сделал ?

Не менее тупой ;) встречный вопрос: а у тебя форвардинг на первой компе с двумя сетевухами включён?

8-(
А как оно включается ?
Если вот так:
echo "1">/proc/sys/net/ipv4/ip_forward
то это ничего не дало, хотя
cat /proc/sys/net/ipv4/ip_forward дает 1
Может что-то в ядре нужно включить ? Ядро 2.4.26

>А как оно включается ? Если вот так: echo 1">/proc/sys/net/ipv4/ip_forward

Так. Или через /etc/sysctrl.conf

>Может что-то в ядре нужно включить ? Ядро 2.4.26

Сам компилил, или дистрибутивное? Проверь конфиг, должны быть включены опции advanced router (ip_forwarding, etc.) в разделе networking options.

И как ты роутишь это дело? NAT? Как с правилами iptables?

>>Сам компилил, или дистрибутивное?
Самосборное
>>Проверь конфиг, должны быть включены опции advanced router >>(ip_forwarding, etc.) в разделе networking options.
IP advanced router я нашел и включил, а про ip_forwarding в упор не вижу, наверно в 2.4.26 одно подразумевает другое.

>>И как ты роутишь это дело? NAT? Как с правилами iptables?
Мда. Вероятно мне еще долго делать RTFM. Я по наивности думал что команды route будет достаточно :)

>IP advanced router я нашел и включил, а про ip_forwarding в упор не вижу

Про айпи-форвардинг я сказал примерно :), точно не помню, там когда выбираешь advanced router, появляются дополнительные опции, по описанию к ним сориентируешься какие нужны.

>Вероятно мне еще долго делать RTFM. Я по наивности думал что команды route будет достаточно :)

Имхо, изучения этого документа http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html будет достаточно. Там всё толково описано. NAT и простейшие правила организовать не сложно, всё получится.

>>Про айпи-форвардинг я сказал примерно :), точно не помню, там когда >>выбираешь advanced router, появляются дополнительные опции, по >>описанию к ним сориентируешься какие нужны.
Там вот что открывается. Наверно "IP: advanced router" достаточно.

[*] IP: advanced router
[ ] IP: policy routing
[ ] IP: equal cost multipath
[ ] IP: use TOS value as routing key
[ ] IP: verbose route monitoring

>>Имхо, изучения этого документа >>http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
>>будет достаточно.
Нифига себе ! Спасибо ! Будем разбиратся. Читать и читать.

>>Там всё толково описано. NAT и простейшие правила организовать не >>сложно, всё получится.
Надеюсь.

Читаю. Рулез !!!

Покурил доку, и кучу всего еще, набросал такое:

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -j ACCEPT
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -o eth0 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -o eth1 -j ACCEPT

iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.0.70.0/24 -j SNAT --to-source 192.0.60.5 -o eth0

В ядро вкомпилено все что только можно но 192.0.60.7 по прежнему не пингуется со второго компа :(

Тут есть еще такой момент: 192.0.60.7 фильтрует по MAC адресу,
однако насколько я понимаю после SNAT в пакете будет MAC адрес первого компа(роутера) или я брежу ?

>iptables -t nat -A POSTROUTING -s 192.0.70.0/24 -j SNAT --to-source 192.0.60.5 -o eth0

А DNAT Пушкин будет делать ;)? Преобразование сетевых адресов должно работать в обе стороны, чтоб пакеты ходили с eth0 на eth1 и обратно.

З.Ы. И правила с т.з. секурности никакие. Политики по-умолчанию небось ACCEPT? Тогда твои правила в таблице filter не имеют смысла, там и так по умолчанию всё ACCEPT. Ну да это потом поправишь, когда разберёшься с НАТом :)

Так я то-же пробывал делать:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -j SNAT --to-source 192.0.60.5 -o eth0
iptables -t nat -A PREROUTING -j DNAT --to-destination 192.0.70.5 -i eth1

Результат тот-же :( Может насчет MAC не бред ? Хотя какой смысл подменять с помощью SNAT IP и не подменять MAC. Наверно подменяется ?!!

Не знаю. Вроде все как пишут делаю. У меня сейчас два варианта осталось либо MAC не подменяется и потому режется в сетке либо что-то не включено в ядро - но все что описано в статье я вкопилил и вообще никто не ругается. :(((

Кстати я не уверен что тут нужен DNAT потому что в доке написано что:
"SNAT (Source Network Address Translation) используется для изменения исходных адресов пакетов. С помощью этого действия можно скрыть структуру локальной сети, а заодно и разделить единственный внешний IP адрес между компьютерами локальной сети для выхода в Интернет. В этом случае брандмауэр, с помощью SNAT, автоматически производит ПРЯМОЕ и ОБРАТНОЕ преобразование адресов, тем самым давая возможность выполнять подключение к серверам в Интернете с компьютеров в локальной сети."

Кстати, очень может быть ;), насчёт подмены мака. А про DNAT я погорячился :) ты же на втором компе никаких сетевых сервисов для внешней сетки предоставлять не собираешься... значит он, пожалуй, не нужен вообще ;)

Сейчас все твои сообщения перечитаю внимательно, может я что-то упустил из виду...

>>Сейчас все твои сообщения перечитаю внимательно, может я что-то >>упустил из виду...
Большое спасибо ! Может у тебя icq есть ? :) Я то-же могу чем нибудь пригодится :) C/C++ например :)

>Может у тебя icq есть ?

305871020

Только мне сейчас надо будет на час-два отлучится от компа, так что стукни мне в аську через час, ОК?

Ребята, iptables вещь несомненно весьма полезная, но в данном случая они только могут затуманить итак не весьма четкое понимание того, что происходит.
При установке правил ACCEPT на все роутер должен быть прозрачен в обоих направлениях. Только после того, как вы этого добьетесь, можно начинать мутить с правилами NAT, MAC и т.д.
Читайте Network Administrator Guide либо здесь же, либо поищите в более удобной форме с разбивкой на разделы (в html). Этот документ, естественно, давным-давно переведен на родной (не для всех) язык.
Там нет абсолютно ничего сложного.

>При установке правил ACCEPT на все роутер должен быть прозрачен в обоих направлениях

Я конечно, не гуру в компьютерных сетях, но, насколько я понял, человек пытается пинговать со своего "внутреннего" компа, шлюз провайдера во "внешней" локалке, через который он ходит в инет. Неизвестно, как настроен этот шлюз (который 192.0.60.7) - он может запросто игнорировать пинги с левых айпи/маков, каковым, в случае отсуствия НАТа, для шлюза будет ip/mac "второго" компа. И тогда без ната никак. Хотя, конечно, было бы проще и логичнее сначала организовать "прозрачный" роутинг, а потом уж настраивать НАТ и файрвол :).

Кстати, имхо, некоторой ценностью network administrators guide конечно, обладает, но немного староват он. В частности инфа о настройке ядер 2.2 несколько не актуальна на данный момент ;).

>человек пытается пинговать со своего "внутреннего" компа, шлюз провайдера во "внешней" локалке, через который он ходит в инет.
Не очевидно, т.к. вопрос был сформулирован иначе.

>некоторой ценностью network administrators guide конечно, обладает, но немного староват он. В частности инфа о настройке ядер 2.2 несколько не актуальна на данный момент ;).
Все, что написано там о настройке ядер 2.2, равно справедливо для ядер 2.4. Кроме МАЛЮСЕНЬКОЙ главки о настройке ядер там еще довольно много чего есть. Кроме того я вовсе не призывал ОГРАНИЧИТЬСЯ этим документом.
А для начала лучшего мне не попадалось.

>Не очевидно, т.к. вопрос был сформулирован иначе.

Возможно что и неочевидно, но так и есть. И пров таки рубит пинги с левых айпи/маков, так что отсуствие пинга обьяснимо (информация из переписки по аське). Так как с второго компа пингуются айпишники обоих сетевух на первом компе - можно сделать вывод, что форвардинг на первом компе работаёт ;) - правильно? Значит, осталось настроить НАТ. Или я ошибаюсь?