форвардинг в iptables

Я прописал маршруты с роутера на хх.xx.xx.xx для всей подсети какими правилами iptables мне теперь перекинуть трафик на другие машины в этойже подсети с указанием портов?

Не совсем понятна структура сети в которой вы хотите пропустить трафик.

Белые адреса - это видимо реальные IP адреса?

Структура видима такая (на сколько я понял):

Машинки с реальными IP ----- машинка linux ---- роутер -- интернет

Тогда для хождения трафика между машинками с реальными адресами и интернетом. Вам надо настроить статическую маршрутизацию на роутере и машинке с linux, фаирвол в данном вопросе не при чем.

Если надо фильтровать пакеты то для этого надо настроить фаирвол на роутере или на машинке с linux.

Думаю, в разделе администрирования вам более подробно и охотнее ответят.

PS: И не забудьте сказать провайдеру, что бы он реальные адреса машинок заворачивал на ваш роутер.

Структура следующая: Провайдер --- linux (real ip) --- ещё пяток машин с реальными ip. в этой же подсети. Собственно вопрос по настройке iptables. Как я понял из man за это отвечает цепочка forward только как в ней фильтровать порты?

Переведи эти машины в серые ip и спрячь за своим linux-роутером, а все их белые ip выстави на сетевом интерфейсе, который идёт к провайдеру. Дальше nat, таблицы prerouting и forward. Ну или делай мост. Обычно просьбы к провайдеру сделать что-то нестандартное плохо заканчивается, постоянно что-то отламывается.

> iptables -A FORWARD -o eth0 -d xx.xx.xx.xx --p tcp --dport 3389 -m state --state NEW --to-destination yy.yy.yy.yy -j ACCEPT

Это не должно вообще работать, данная строчка это смесь кусков для форварда и с кусками для NAT.

Для "белых" адресов NAT и какое-либо другое колдовство с iptables не нужно вообще. Просишь у провайдера микросеть с маской /30 (если таковой ещё нет) и просишь на неё сроутить свои "белые" адреса. С твоей стороны роутинг на новый адрес появится сам автоматически, когда этот адрес пропишешь на внешнем интерфейсе.

Да, вдогонку. В разделе "admin" на этом форуме обсуждался способ, как сделать всё это не меняя роутинг у провайдера и не получая дополнительную сетку /30. Это уже из разряда "хакерства", но способ был вполне рабочий. Гугли.

>Да, вдогонку. В разделе "admin" на этом форуме обсуждался способ, как
>сделать всё это не меняя роутинг у провайдера и не получая
>дополнительную сетку /30. Это уже из разряда "хакерства", но способ
>был вполне рабочий. Гугли.

Если кто найдет киньте линк плиз (искать в лом а почитать интересно).
Подозреваю что на arp запрос от маршрутизатора провайдера, надо принудительно кинуть в ответ свой мак. Но не ко всем провам подключаются по изернету. А с получеными пакетами разбираться самостоятельно.

Оно?

http://www.linux.org.ru/view-message.jsp?msgid=3333176&lastmod=1229587168947

>Оно?

>http://www.linux.org.ru/view-message.jsp?msgid=3333176&lastmod=1229587168947

Видимо оно, должно помочь автору топика.

PS: Хых не знал что есть фенька - "proxy arp" - жизнь скушна, все придумали до нас.

есть еще CLNS роутинг, там совсем весело.