Устройство DSA-3110.
Что-то ничего не понимаю.
Пусть eth0 172.18.11.1 - сеть DMZ
Пусть eth1 194.1.1.1 - сеть WAN0
Пусть eth2 194.1.1.2 - сеть WAN1
Пусть eth3 172.19.11.1 - сеть LAN

Первое (думал самое простое)
Разрешить весь трафик из LAN в DMZ на устройство 172.18.11.2 (роутинг, не нат)
То есть:
iptables -A FORWARD -i eth3 -o eth0 -j ACCEPT
iptables -A FORWARD -p ALL -s 172.19.0.0/16 -d 172.18.11.2 -j ACCEPT

Второе:
Для всех кто подключился по VPN из LAN разрешить доступ в Интернет через WAN0.
Опубликовать несколько сервисов в DMZ через WAN0 и WAN1.

Вроде-бы все должно быть просто (для последнего вообще все подготовлено).
Но даже первое не получается.

Смысл второго правила не понятен. Оно уже чем первое, но стоит ниже, оно никогда не сработает.

Не работает не первое, не второе, ни вместе.

Если первое правило сработает, то во втором конечно нет смысла, но хотя бы что-нибудь для начала.

итак DSA-3110 после перезагрузки:
---------
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT 0 -- anywhere anywhere reject-with icmp-port-unreachable
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
---------
# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE 0 -- 172.18.0.0/16 anywhere
MASQUERADE 0 -- 172.22.0.0/16 anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
---------

Даю команду:
iptables -A FORWARD -p ALL -s 172.19.0.0/16 -d 172.18.11.2 -j ACCEPT

Получаем:
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT 0 -- anywhere anywhere reject-with icmp-port-unreachable
ACCEPT 0 -- 172.19.0.0/16 172.18.11.2
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
---------------

Маршрутизации на 172.18.11.2 нет
(проверяю tracert 172.18.11.2 с компа в сети. Первым хопом он видит DSA-3110, после второго звездочки. Ну и на всякий случай иду на web сервер на 172.18.11.2 - он тоже естественно недоступен.

Расширяю команду:
iptables -A FORWARD -i eth3 -o eth0 -j ACCEPT

имеем:
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT 0 -- anywhere anywhere reject-with icmp-port-unreachable
ACCEPT 0 -- 172.19.0.0/16 172.18.11.2
ACCEPT 0 -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
------------

Маршрутизации нет!
Ничего не понимаю, я конечно с Linux далеко не каждый день ... но почему не работает?

Настройки:
---------
# cat /etc/default/nat
NAT_ACTION="MASQUERADE"
NAT_NETS="172.16.0.0/16 172.19.0.0/16 10.0.0.0/8"
---------
# cat /etc/network/interfaces
auto lo eth0 eth3
iface lo inet loopback
iface eth0 inet static
address 172.18.11.1
netmask 255.255.0.0
iface eth1 inet dhcp
iface eth2 inet dhcp
iface eth3 inet static
address 172.19.11.1
netmask 255.255.0.0
---------
# cat /VERSION
NAME: DSA-3110
VERSION: 2.0.2
BUILDTIME: Fri Oct 26 19:10:00 MSD 2007
VENDOR: D-Link Russia
BUGS: <support@dlink.ru>
SUMMARY:
Root filesystem image for DSA-3110
---------

Кстати ввод команды:
# /usr/sbin/iptables -D FORWARD -i eth0 -o eth1 -j REJECT
Которая отменяет аналогичную в скрипте nat тоже не помогает (по идее eth1 тут не при чем, но все же)
То есть при этом:
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- 172.19.0.0/16 172.18.11.201
ACCEPT 0 -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
-------------
Когда вообще все разрешено, в том числе и маршрутизация, все равно ничего не работает!

Да пинг на устройство и с устройства в eth0 и в eth3 есть. То есть не работает непосредственно маршрутизация.

Может нужно еще и маршрут задать?

Сейчас:
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
172.18.0.0 * 255.255.0.0 U 0 0 0 eth0
172.19.0.0 * 255.255.0.0 U 0 0 0 eth3
127.0.0.0 * 255.0.0.0 U 0 0 0 lo

Такой тоже не помогает:
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
172.18.0.0 * 255.255.0.0 U 0 0 0 eth0
172.19.0.0 * 255.255.0.0 U 0 0 0 eth3
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 172.18.11.2 0.0.0.0 UG 0 0 0 eth0

мде. Либо я чего-то не понимаю ...

Все очень просто. вы ДОБАВЛЯЕТЕ правила в конец списка. а просматриваются они сверху вниз, и все пакеты реджектятся по первому правилу. Используйте ключ -I для вставки правил в начало списка.

_________________
С уважением -- Александр Шебаронин.

А DSA-3110 поддерживает этот ключ?
В каком месте его вводить. (Да и учитывая, что правило запрета я удаляю, но ничего не меняется)
# iptables -h
iptables v1.3.7

Usage: iptables -[AD] chain rule-specification [options]
iptables -[RI] chain rulenum rule-specification [options]
iptables -D chain rulenum [options]
iptables -[LFZ] [chain] [options]
iptables -[NX] chain
iptables -E old-chain-name new-chain-name
iptables -P chain target [options]
iptables -h (print this help information)

Commands:
Either long or short options are allowed.
--append -A chain Append to chain
--delete -D chain Delete matching rule from chain
--delete -D chain rulenum
Delete rule rulenum (1 = first) from chain
--insert -I chain [rulenum]
Insert in chain as rulenum (default 1=first)
--replace -R chain rulenum
Replace rule rulenum (1 = first) in chain
--list -L [chain] List the rules in a chain or all chains
--flush -F [chain] Delete all rules in chain or all chains
--zero -Z [chain] Zero counters in chain or all chains
--new -N chain Create a new user-defined chain
--delete-chain
-X [chain] Delete a user-defined chain
--policy -P chain target
Change policy on chain to target
--rename-chain
-E old-chain new-chain
Change chain name, (moving any references)
Options:
--proto -p [!] proto protocol: by number or name, eg. `tcp'
--source -s [!] address[/mask]
source specification
--destination -d [!] address[/mask]
destination specification
--in-interface -i [!] input name[+]
network interface name ([+] for wildcard)
--jump -j target
target for rule (may load target extension)
--match -m match
extended match (may load extension)
--numeric -n numeric output of addresses and ports
--out-interface -o [!] output name[+]
network interface name ([+] for wildcard)
--table -t table table to manipulate (default: `filter')
--verbose -v verbose mode
--line-numbers print line numbers when listing
--exact -x expand numbers (display exact values)
[!] --fragment -f match second or further fragments only
--modprobe=<command> try to insert modules using this command
--set-counters PKTS BYTES set the counter during insert/append
[!] --version -V print package version.

Мде ... неужели нельзя было сразу скриптик вставить до натовского, который бы маршрутизацию настраивал, да и не по всем портам при желании, а только по определенным.

хм ...
А маршрутизация из сети 172.18.0.0/16 в сеть 172.19.0.0/16 вообще возможна? Что-то мну уже клинит, но может быть в "закрытой" сети класса B маршрутизация между сетями вообще невозможна, только в подсетях?

Мде, давненко не открывал мануалы по построения сети. Хотя начиная с 7-ми уровневой модели OSI вроде-бы все припоминаю ...