» Нужна помощь по iproute2

Доброго времени суток!

Скажем так, относительно недавно со сменой работы стал счастливым администратором роутера (iptables, squid) с установленной ASPLinux 12. И ясен пень в Линухе я скажем так "не очень"
Суета началась когда к нам завели еще одну оптику с конвертором на 100мб/с для внутренней отчетности и типа документооборота, назовем сеть (NDE). В этой сети нету шлюза и соответственно и инета, просто одна большая сеть из цепочек свичов и хабов, компы и сервера в этой сети имеют "серые" IP-адреса вида 172.16.0.0/16.
Итак что имею:
1) сеть (INET) eth0 IP 11.22.33.44/24 gw 11.22.33.1
2) сеть (LAN) eth1 IP 192.168.0.1/24
3) сеть (NDE) eth2 IP 172.16.16.1/16
Проблема в том, что нужно выпускать SNAT-ом клиентов из (LAN) что в интернет что в NDE.
Строчки из iptables.conf

Код: iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/16 -o eth2 -j SNAT --to-source 172.16.16.1
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source 11.22.33.44

хоть бы что написали....

учить матчасть:

http://gazette.linux.ru.net/rus/articles/lartc/x348.html


проверить маскарад и форвардинг

*nat
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth2 -j MASQUERADE

sysctl -a | grep -i forward (/etc/sysctl.conf)

проверить роутинг. смотрите на netstat -rnee и traceroute пакетов.

Смотрите, в вышеуказанной статье да и в других в принципе, немножко не про мою ситуацию, там и там говорят, что сеть подразумевает 2 канала интернет и соответственно 2 шлюза и т.д. Я-то имею 1 шлюз для инета и 2 ЛВС. Причем из сети LAN должно выходить в сеть NDE и INET SNAT-ом.
С инетом у меня проблем нет, т.к. есть default, а вот на сеть NDE из LAN не идет. Вот этот момент прошу прояснить умным языком какие телодвижения нужно сделать чтобы заработало как положено

Добавлено:
Вывод команды:
[root@gw /]# iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- mega.admin.host 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
QUEUE all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- mega.admin.host 0.0.0.0/0
ACCEPT all -- 192.168.0.0/24 172.16.0.0/16
ACCEPT all -- 172.16.0.0/16 192.168.0.0/24
QUEUE all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 mega.admin.host
QUEUE all -- 0.0.0.0/0 0.0.0.0/0

На строчку QUEUE прошу не обращать внимания, т.к. по этой строчке идет подсчет трафика интернет, работа сеток NDE и LAN разрешается правилом ACCEPT что до правила QUEUE.
mega.admin.host - мой рабочий комп с которого захожу по SSH.

а вот выдержка из правил iptables:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 172.16.0.0/16 -o eth2 -j SNAT --to-source 172.16.16.1
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source 11.22.33.44

imho - все "прояснения"? даны выше (равно как и рекомендация по "телодвижениям"). постарайтесь внимательно перечитать мой пост выше.

inlan

Маршрут прописать?

Типа -

ip route add 172.16.0.0/16 dev eth2

хм... идея.... >:D
только такой маршрут установлен уже системой.

inlan
Ну а по ссылочке sda00 сходить религия не позволяет ?. Там же все разжевано - и как таблицу маршрутизации создать подробно и про iptables. И не важно что там на второй сети инет локалка или нет - случай твой. Просто создаешь сеть с multipath маршрутами и несколькими шлюзами один в вторую локалку второй на все остальное.