[Andrix]

Есть роутер под Linux ,в нем 2 карты ,на 1 адрес x.x.x.x там же gateway a.a.a.a тоесть смотрит в сторону провайдера ,на 2 виртуалные z.z.z.z которые маскарадятся на 1 карту.Всё работает олично,но мне кажется что пакеты с 2 карты могут уходить во внешную сеть,тоесть он одновремено и маскарадит и роутит.Вот команда: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

[alger]

на мой взгляд лучше сделать так

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE -s ЛокальныеАдреса -d ! ЛокальныеАдреса

 

на сколько я понял, ты не силен в unix-е, и если у тебя данный комп используется только под маскарадинг/фаервол, то очень рекомендую поставить MikroTik,

и управлять будет проже, да и для твоих нужд бесплатной лицензии хватит.

плюс ТУТ есть подробная интрукция для начинающих как настроить маршрутизатор с нуля.

[j262]

>Всё работает олично,но мне кажется что пакеты с 2 карты могут уходить во >внешную сеть,тоесть он одновремено и маскарадит и роутит.Вот команда: >iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

 

а ты глянь действительно это так или нет , например с помошью tcpdump

[booz]

Есть роутер под Linux ,в нем 2 карты ,на 1 адрес x.x.x.x там же gateway a.a.a.a тоесть смотрит в сторону провайдера ,на 2 виртуалные z.z.z.z которые маскарадятся на 1 карту.Всё работает олично,но мне кажется что пакеты с 2 карты могут уходить во внешную сеть,тоесть он одновремено и маскарадит и роутит.Вот команда: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

 

Если это единственное правило iptables - у тя о%нные проблемы (при условии, что все политики ACCEPT). НЕОБХОДИМО указать как источники, так и назначения. См. пред. пост. Далее, кажется что ты хочешь z.z.z.z eth1 занатить в x.x.x.x eth0 ? Естествено, в этом случае они будут и натится и форвардится, и уходить в сеть. А как написано у тебя, то вообще любой IP будет натится и уходить с eth0, притом за твой счет :)

 

И еще. Лучьше все таки вот так

iptables -t nat -A POSTROUTING -o eth0 -s z.z.z.0/24 -j SNAT --to x.x.x.x

[Duxx]

.... iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

вообщето нестоит так прямо все пакеты отправлять в инет, и еще если у тебя ip инетовский статический яб рекоменловал использовать более прозрачную команду для маскарадинга вроде этой

iptables -t nat -A POSTROUTING -s z.z.z.z/24 -o eth0 -j SNAT --to a.a.a.a

флал MASQUERADE, обычно используют для непостоянных соединений.

а вообще порекомендовал бы статью http://www.opennet.ru/docs/RUS/iptables/index.html

[Andrix]

а если ip динамический то какое правило должно быть?

[booz]

а если ip динамический то какое правило должно быть?

Парсить ifconfig можно :)

[Гость]

Есть роутер под Linux ,в нем 2 карты ,на 1 адрес x.x.x.x там же gateway a.a.a.a тоесть смотрит в сторону провайдера ,на 2 виртуалные z.z.z.z которые маскарадятся на 1 карту.Всё работает олично,но мне кажется что пакеты с 2 карты могут уходить во внешную сеть,тоесть он одновремено и маскарадит и роутит.Вот команда: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE