Есть шлюз ASP Linux 7.3 с двумя сетевухами и IPTABLES. Есть список городских сетей с дешевым трафиком(городской интернет), и глобальная сеть 0.0.0.0/0 подороже. Надо, чтобы пользователи могли иметь городской трафик всегда, а внешний с моего разрешения. Как эти сети можно разделить через IPTABLES?

что такое iptables??? и иже с ними??
это есть фильтрация пакетов! ;о))) верно?
вот и создаёшь правило:
что если пакет прёт на такую-то подсеть (ты же знаешь подсети твоего ГорНета?) то его PREROUTING туда-то (на тот интерфейс который у тебя в городскукю сеть смотрит) :oszone:

Исправлено: Guest 80 247 100, 14:23 9-10-2003

Добавлено:

хотя, такой момент еще :О)
а почему ты хочешь это организовать на iptables??? почему это не организовать на уровне маршрутеризации? мне кажется это правильней будет.....:gigi:

Можно пример правила на iptables?
Что значит организовать на уровне маршрутизации?
Если можно, то тоже с коротеньким примером.

Можно пример правила на iptables?
нет нельзя :о), могу на ipchains
ну а на уровне маршрутизации...
допустим у тебя за первой сетевухой (eth0) Горнет (например его подсеть 213.242.233.0, и гейт прова 213.242.233.254)
за второй сетевухой (eth1) глобальный нет (0.0.0.0 и гейт прова 212.212.212.254)
тогда в таблицу маршутов добавляем так:

route add -host 213.242.233.254 -netmask 255.255.255.255 dev eth0
route add -net 213.242.233.0 -netmask 255.255.255.0 gw 213.242.233.254
route add -host 212.212.212.254 -netmask 255.255.255.255 dev eth1
route add default gw 212.212.212.254

Давай на ipchains. В том-то и дело, что одна сетевуха смотрит в локалку, а вторая во внешняк, а список т.н. бесплатных сетей довольно велик. Там не одна сеть и не десять даже. Все городские провайдеры.

дак а какая разница где прописывать все эти сети!???? их же всё равно надо прописывать!, хоть в таблице роутинга хоть в ipchains или iptables!!! всё равно надо их все прописать иначе как ты себе вообще представляешь это?

я считаю что правильней в таблице роутинга:up:


Добавлено:

кстатииииииии :о)
таблицу роутинга хоть как надо прописать :о)) это же у тебя будет шлюз ASP Linux 7.3 с двумя сетевухами и IPTABLES
а уж потом настравать фильтрацию пакетов!

Почитай две статейки:
1. по IpTables
http://iptables-tutorial.frozentux.net/iptables-tutorial.html
2. Два канала
http://www.osp.ru/lan/2002/05/042_print.htm

И форум
http://forum.oszone.net/topic.cgi?forum=6&topic=1743
______________________________
by sergleo

Наверное я свои мысли не верно выражаю. Спрошу конкретно. Есть локалка 192.168.1.0/24, есть сеть городская 1.2.3.4/25 Будет ли верен такой набор правил?

iptables -A FORWARD -s 192.168.1.0/24 -j DROP - запретим форвардинг из локалки совсем

iptables -A FORWARD -s 192.168.1.0/24 -d 1.2.3.4/25 -j ACCEPT - разрешим ходить всегда из локалки в город

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Всё! Набор правил кончился!

Для каждого юзера локалки (по его просьбе) буду запускать следующий скрипт с этим правилом, чтобы он мог гулять в мировую сеть.

iptables -A FORWARD -s 192.168.1.X -d 0.0.0.0/0 -j ACCEPT