Маршрутизация в Linux

[Den_LocalNet 1 472]

Народ помогите с таким вопросом:

 

Условие:

Имеем:

1. Линуксовый роутер на базе РН 9.0

2. Выделенку в ЮА-ИКС

3. ВПН аккаунт для доступа к Миру.

 

Задача:

 

Заставить роутер маршрутизировать так что бы ЮА-ИКС шли через выделенку,

а Мир через ВПН.

 

ВПН я подключил....Он работает и если с помощью route add net добавить правило, то на самом роутере мир идёт через ВПН. А вот как его заставить так же работать для клиентов из локалки - для меня задача!

 

Предположим что шлюз и ДНС на провайдера в ЮА-ИКС 195.1.1.1

Адрес ВПН сервера 195.2.2.2

Когда я подключаюсь к ВПН серверу то создаётся интерфейс ррр0 с адрессом 192.168.4.60 (просто подключаюсь к сетке где есть инет там адрессация 192.168.4.* и шлюз 192.168.4.150)

 

П.С. Приветствуются ответы с примерами.

П.С.С. Пожалуста, не посылайте читать про Iptables...и так читаю....но пока ничего не получается.....

[Apexman 0]

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -d ! ЮА-ИКС -j SAME --to 192.168.4.60

iptables -t nat -A POSTROUTING -j SAME --to ip выделенки

если в твоих iptables еще нет SAME, используй SNAT

[Den_LocalNet 1 472]

echo 1 > /proc/sys/net/ipv4/ip_forward

вот это не совсем понял

если в твоих iptables еще нет SAME, используй SNAT

что такое SAME?

-d ! ЮА-ИКС

Это означает НЕ ip ЮА-ИКС? А что для каждой группы адресов ортдельное правило создавать? Можно ли как-то привязать текстивый файл с адресами?

 

У меня уже есть такое правило:

iptables -t nat -A POSTROUTING -d 0/0 -j SNAT --to 195.1.1.1

Как мне от него избавится и добавить єти правила?

[Zep 0]

Ты хочешь сделать так, что бы изначально искались узлы по UA-IX и в случае ненахождения уходило во внешний мир по VPNу???

[Den_LocalNet 1 472]

Ты хочешь сделать так, что бы изначально искались узлы по UA-IX и в случае ненахождения уходило во внешний мир по VPNу???

ну да.....хочется....но что бы они не искались, а роутер чётко знал что такое УА-ИКС и что такое МИР

[Zep 0]

Ты подключен к UA-IX непосредственно или через субпровайдера? Выдавали ли тебе номер автономной системы?

Если есть номер автономной системы и ты зарегистрирован в базе RIPE (база глобальной маршрутизации), то тебе необходимо использовать протокол BGP4... Читай информацию на ua-ix.net.ua

[Apexman 0]

echo 1 > /proc/sys/net/ipv4/ip_forward

вот это не совсем понял

Таким образом включается прохождение пакетов между интерфейсами.

если в твоих iptables еще нет SAME, используй SNAT

что такое SAME?

Это свежая реализация SNAT. Из хелпа конфига ядра:

This option adds a `SAME' target, which works like the standard SNAT target, but attempts to give clients the same IP for all connections.

-d ! ЮА-ИКС

Это означает НЕ ip ЮА-ИКС? А что для каждой группы адресов ортдельное правило создавать? Можно ли как-то привязать текстивый файл с адресами?

В patch-o-matic уже есть реализация iprange

Status: Works

This patch makes possible to match source/destination IP

addresses against inclusive IP address ranges.

Examples:

iptables -A FORWARD -m iprange --src-range 192.168.1.5-192.168.1.124 -j ACCEPT

iptables -A FORWARD -m iprange --dst-range 10.0.0.0-10.5.255.255.255 -j ACCEPT

В стандартном варианте только для каждой группы - по правилу.

У меня уже есть такое правило:

iptables -t nat -A POSTROUTING -d 0/0 -j SNAT --to 195.1.1.1

Как мне от него избавится и добавить єти правила?

iptables -t nat -D POSTROUTING -d 0/0 -j SNAT --to 195.1.1.1

ну или iptables -t nat -D POSTROUTING 1

[Zep 0]

Да ну это все понятно..... Докомунтации по Файрволу хватает. Ему по-нормальному надо бы поднять динамическую маршрутизацию

[Apexman 0]

Да, но

П.С.С. Пожалуста, не посылайте читать про Iptables...и так читаю....но пока ничего не получается....

потому и

ответы с примерами