Простой маршрутизатор 3-х сетей

Как мне это сделать через iptables ?
Я уже просто окончательно запутался.

Что делал? Что не получилось?

лучше представьте что я всё сбросил. Дописал настройки сетевых карт.

Но сделал пока вот как:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -s 10.11.10.7 -d 172.20.0.0 -j ACCEPT
iptables -A INPUT -s 10.11.10.7 -d 192.168.1.0 -j ACCEPT

Ни одна сеть не должна видеть другую сеть, но админские компьютеры (например 10.11.10.7) должны видеть другие сети по всем портам.

Это довольно слабо относится к маршрутизации, это вопрос про файрволл.

Начнём…

# Разрешаем админским компьютерам (например 10.11.10.7) видеть другие сети
iptables -A FORWARD -s 10.11.10.7 -j ACCEPT

# Запрещаем остальной транзитный трафик DROP или REJECT по вкусу
# Вариант 1.
iptables -P FORWARD -j DROP
# Вариант 2.
iptables -А FORWARD -j DROP

iptables -A INPUT …

А вот это и есть Ваша ошибка! INPUT относится к локальному трафику, т.е. адресованному хосту—маршрутизатору. Транзитный трафик идёт через FORWARD:

http://www.adminsehow.com/wp-content/uploads/2011/09/tables_traverse.jpg

сделал как вы написали. но результата нет

Есть сейчас компьютер 172.20.1.2 не могу на него ни зайти ни пингуется даже.

Во всех сетях данный маршрутизатор проставлен шлюзом по умолчанию? Что кажет tcpdump -i any host 172.20.1.2 при попытке пропинговать этот хост? Если только запросы, то вариантов 2:

1) 1 запрос на каждый ICMP-пакет(с входящего интерфейса) и нет ответов - режет файрвол на шлюзе, курим iptables;
2) 2 запроса на каждый ICMP-пакет(с входящего и исходящего соответственно) и нет ответов - файрвол пакет пропускает, но целевой компьютер не знает, куда отвечать - курить маршрутизацию на нем(как минимум - проверить шлюз по умолчанию, как я советовал выше).

tcpdump у меня нет. Но в сетях 172.20.0.0 шлюзом стоит - 172.20.1.1 и в сети 192.168.1.0 стоит шлюзом - 192.168.1.1

То есть компьютер то один и тот же.

то есть мне надо настраивать только FORWARD? Не подскажите мне что именно надо сделать?

tcpdump у меня нет.

Поставь и посмотри выхлоп.

для начала(откроет форвардинг отовсюду):

iptables -P FORWARD ACCEPT
iptables -F FORWARD
sysctl -w net.ipv4.ip_forward=1

Как заработает - переводи политику(через -P) в DROP и пиши разрешающие правила. За разрешение транзитных пакетов отвечает в таблице filter только цепочка FORWARD.

да так получилось, еще прописал у себя на компьютьере (WinXP) :

route ADD 172.20.0.0 MASK 255.255.0.0 10.11.20.70

iptables -A FORWARD -s 10.11.10.7 -d 172.20.0.0/16 -j ACCEPT

я так понимаю мне надо разрешить отправлять ответ по уже установленным соединениям, но как это сделать я не знаю.

iptables -I FORWARD 1 -m conntract --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT

еще прописал у себя на компьютьере (WinXP) :

Лучше бы ты шлюз по умолчанию правильный прописал. У тебя его вообще не было или есть другой маршрутизатор, выполняющий эту роль в сети 10.11.0.0/16?

у меня основной шлюз другой, у нас домен тут. Я тогда логиниться в компьютер не смогу нормально.

Если ты получаешь IP по DHCP - можешь на нём раздать classless-маршрут, чтобы все клиенты знали как ходить в другие сети(чтоб не добавлять маршрут руками на каждом компьютере). А неугодных - зарезать файрволом.

IP-адресс у меня постоянный, не по DHCP. Но всё же

iptables -I FORWARD 1 -m conntract --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT

не помогла

Как мне это сделать через iptables ?

Это скорее работа для VLAN-а. У тебя какие switch-и?

Таких два: http://www.adriatiko.com/photos/products/2/4752/DES-1016D.jpg

Таких два:

Эти VLAN-ы не поддерживают. Но если: админские компьютеры поддеживают VLAN (т.е. это linux или win с поддержкой VLAN в драйверах), а пользовательские не могут присвоить себе номер VLAN (не имеют прав или нет поддержки в драйверах), то все равно можно на VLAN-ах.

Покажи iptables-save

Что показывает при этом tcpdump?

Всё заработало. Большое спасибо за помощь

курить маршрутизацию на нем

Лучше маскарадинг на шлюзе сделать.

а зачем для задач уровня vlan юзать firewall? :)

Это - к ТСу. Может у него железо не позволяет правильно всё разрулить. Может копропротивный стандарт упоротый. Может еще что. Моё дело маленькое - спросили/ответил )))

Лучше маскарадинг на шлюзе сделать.

За организацию NAT в локальной сети одной конторы вместо правильной маршрутизации я обычно бью канделябром, если нет никакой реальной причины делать именно NAT(причина - так удобнее, потому что можно не париться с маршрутизацией - не канает)

ИМХО, NAT вполне пойдет как решение, если клиенту не обязательно знать о существовании какой-то там подсети за этим хостом.

А как VLAN поможет выпустить конкретные айпишники в другие сети?

А как VLAN поможет выпустить конкретные айпишники в другие сети?

А нефиг им.

Нет, ну правда. Всегда где вланы, там и маршрутизация между ними, и не всех везде пускают, а именно кого-то и куда-то по особой логике. Как тут без файрвола?

//сам живу в сети /16 без сегментации, предметом разговора живо заинтересован

Ок, объясняю наглядно:
Есть причины, по которым есть раздления сетей.

Например есть бух сеть и общая.
Их надо разделить.
Но манагеру нужны ресурсы и оттуда и оттуда.
В таком случае манагеру либо выдается еще айпишка, либо другая сетевуха с другой айпишкой, либо вапще отдельный девайс. ибо нефиг.

В таком случае манагеру либо выдается еще айпишка,

это как eth0:0?

либо другая сетевуха с другой айпишкой,

то есть он сидит сразу в двух сетях, что в этом варианте, что в следующем?

либо вапще отдельный девайс. ибо нефиг.

а это как?

это как eth0:0?
то есть он сидит сразу в двух сетях, что в этом варианте, что в следующем?

Могу ошибаться, ибо не помню, как себя роутер поведет в такой ситуации. Но, емнип, так можно.

а это как?

А это так. Отдельный комп для доступа в бух сеть. Ибо нефиг и безопастность.

В итоге маршрутизация между вланами не нужна?