Здравствуйте!
Есть такая задача, в принципе полагаю, что не очень сложная, но сам никогда с iptables не работал, документацию почитал и идеи есть как решить, но дело в том, что экспериментировать на данной машине нельзя, поэтому обращаюсь к вам за помощью...

Есть шлюз в интернет под федорой, внешний интерфейс - eth0 (ip 80.70.225.xxx), внутренний - eth1 (ip 80.70.234.xxx). И через этот шлюз моя маленькая локалка ходит в интернет.
У провайдера так настроено оборудование, что сам сервер в интернет выхода не имеет, тоесть когда обращение идёт непосредственно с внешнего интерфейса eth0, то не видно вообще ничего кроме шлюза провайдера. Вот задача в том, чтобы пустить пакеты с локальной машины (самого шлюза) через внутренний интерфейс eth1, ну и дальше они пойдут через eth0 и благополучно уйдут в интернет.
Сейчас у меня в iptables следующие правила, они нужны для обработки трафика биллингом, который стоит на моём шлюзе:
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j QUEUE
-A FORWARD -i eth1 -o eth0 -j QUEUE

Ну вот, после чтения документации по iptables я так понял, что нужно при помощи таблицы filter и цепочки OUTPUT перенаправлять локально сгенерированные пакеты в уже существующую цепочку forward (мне нужно чтобы трафик с внутреннего интерфейса шлюза тоже считался биллингом как отдельный компьютер).

Привидите, пожалуйста, список правил, которые нужно добавить для реализации выше описанного. Спасибо.

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
80.70.225.136 0.0.0.0 255.255.255.252 U 0 0 0 eth0
80.70.234.160 0.0.0.0 255.255.255.240 U 0 0 0 eth1
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 80.70.225.137 0.0.0.0 UG 0 0 0 eth0

В общем вот настройки интефейсов:
eth0 Link encap:Ethernet HWaddr 00:90:27:57:32:F3
inet addr:80.70.225.138 Bcast:80.70.225.139 Mask:255.255.255.252
inet6 addr: fe80::290:27ff:fe57:32f3/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:287974455 errors:34 dropped:0 overruns:0 frame:34
TX packets:184892813 errors:224861 dropped:0 overruns:0 carrier:224861
collisions:0 txqueuelen:1000
RX bytes:3375346268 (3218.9 Mb) TX bytes:804491776 (767.2 Mb)

eth1 Link encap:Ethernet HWaddr 00:15:F2:F2:26:D3
inet addr:80.70.234.161 Bcast:80.70.234.175 Mask:255.255.255.240
inet6 addr: fe80::215:f2ff:fef2:26d3/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:185197704 errors:0 dropped:0 overruns:0 frame:0
TX packets:288632497 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2300374616 (2193.8 Mb) TX bytes:445102966 (424.4 Mb)
Base address:0xe800 Memory:fbfe0000-fc000000

Ещё раз route -n:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
80.70.225.136 0.0.0.0 255.255.255.252 U 0 0 0 eth0
80.70.234.160 0.0.0.0 255.255.255.240 U 0 0 0 eth1
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 80.70.225.137 0.0.0.0 UG 0 0 0 eth0

Да, сеть из реальных ip адресов.

Попытаюсь подробнее рассказать ситуацию:
Есть провайдер интернета с локальной сетью (айпишники типа 10.1.x.x).
Я сделал свою сетку, чтобы с друзьями юзать интернет провайдера и поставил линуксовый шлюз (сначала айпишники в нашей сетке были 192.168.x.x). Ну в общем, обычная ситуация.
Но потом мне понадобилось чтобы на мой комп могли заходить из интернета и я купил у провайдера блок внешних ip-адресов на всю нашу сеточку и мне выделили отдельный vlan и дали всю инфу для настройки (vlan настроен со стороны провайдера).
У сервака внешний айпишник (eth0) 80.70.225.138 и внутренний (eth1) 80.70.234.161.
Ну у юзеров соответственно 80.70.234.162 - 80.70.234.xx
Если идти в инет от любого юзера - интернет работает, а если прямо со шлюза - нет.
Из интернета же на шлюз можно зайти, указав айпишник его внутренней сетевухи. Если же указать айпишний внешней сетевухи - то не заходит.
Ну и вот, мне нужно сделать, чтобы со шлюза можно было выйти в интернет, следовательно, как я понял, нужно пустить пакеты со шлюза через его внутренний интерфейс и потом он пойдёт на внешний и т.д., как и пакеты от других юзеров сетки.

Кроме цепочек FORWART таблицы filter в iptables ничего нет!

sanek842:

Да, от внутреннего интерфейса пингуется...

Спасибо, интернет на шлюзе заработал.
Но мне нужно ещё чтобы его трафик также считался биллингом, как у обычного пользователя, тоесть нужно его либо завернуть в ту же цепочку, либо добавить новую цепочку для заворота в биллинг локального трафика... Подскажите, пожалуйста, ещё как это сделать, правила, которыми в биллинг заносится проходящий трафик я уже писал выше