vlan. форвардинг

[oziris]

Здравствуйте. Пытаюсь построить шлюз из устройства с одним физическим сетевым интерфейсом, вторую сетевую воткнуть некуда, это ноутбук.
Схема такова:
АДСЛ модем -> шлюз -> сеть. Все тривиально, но интерфейс у меня один, я делаю так:
На будущем шлюзе создаю vlan интерфейс eth0.2, адрес ему 192.168.0.5, у физического интерфейса адрес 192.168.0.4, в сети та же подсеть, разумеется.
Втыкаю модем и шлюз в один свитч, на ктором вся сеть, поднимаю pppoe на физическом интерфейсе eth0. Коннект удается, с шлюза все пингуется. На шлюзе ip forwarding включен, делаю так:

Код Выделить Развернуть


#!/bin/sh
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t filter -F
iptables -t filter -X
iptables -t mangle -F
iptables -t mangle -X

iptables -I FORWARD -s 192.168.0.2 -j ACCEPT

iptables -A INPUT -i ppp0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
iptables -A FORWARD -o ppp0 -p tcp -j DROP
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE


На клиенте который 192.168.0.2 указываю шлюзом адрес виртуального интерфейса eth0.2, но внешка не пингуется. Чтоб не думать на днс пинговал айпишники.

Что я не учел? Может быть вообще не в ту степь лезу?
Спасибо.

[Graf]

1. Не понятно зачем нужен шлюз. Почему не воткнуть все устройства в тот же свич, где модем.
2. Если не учитывать п.1, то получается, что у ADSL модема LAN-интерфейс равен, скажем, 192.168.0.1 который в свою очередь будет GATEWAY для WAN-интерфейса шлюза. И чтобы шлюз работал как шлюз, АКА маршрутизатор, лучше локалке дать подсеть, скажем, 192.168.2.0/24. И из этого адресного пространства дать LAN-интерфейсу шлюза, скажем, адрес 192.168.2.1. Который и будет для всей локалке адресом шлюза и DNS (при правильной настройке на шлюзе и ADSL соответственно).
3. цепочка UNPUT всегда должна быть перед FORWARD.
4.  MASQUERADE в POSTROUTING используется в том случае, если локалке раздаются адреса по DHCP, иначе, лучше юзать SNAT.

[oziris]

1. Не понятно зачем нужен шлюз. Почему не воткнуть все устройства в тот же свич, где модем.

Шлюз нужен, там хватает причин, просто нужен и все.

4.  MASQUERADE в POSTROUTING используется в том случае, если локалке раздаются адреса по DHCP, иначе, лучше юзать SNAT.

Snat можно, там текущий внешний ип прийдется записывать в переменную, потому что провайдер раздает динамические адреса, а пппое я поднимаю на шлюзе, а не на модеме, по этому я просто решил не париться.
Над вторым пунктом подумаю.

[oziris]

У меня получилось, обошелся без vlan, просто добавил алиас для сетевой карты и поднял на нем pppoe.
Алиас смотрит наружу, физика в сеть.

[intauremfi1984Jax]

есть сеть с несколькими  Vlan
как более правильно организовать доступ к серверам  сервер может быть доступен в нескольких Vlan
сейчас просто подняты виртуальные интерфейсы
насколько это правильно