Клуб любителей ASPLinux

Очень смущает суффикс src 10.x.1.2

Сеть 169.254.0.0/16 Вам не нужна... Отключите ее, добавив в
/etc/sysconfig/network
...
NOZEROCONF=yes
...

Потом проще всего перезагрузится...

И покажите конфигурационны файлы сетевых устройств, то есть, содержимое файлов /etc/sysconfig/network-scripts/ifcfg-eth*

Он разрешен, поскольку политика по умолчанию ACCEPT и нет правил, которые это запрещают...

Думаю дальше...

Маршрут "по умолчанию" на клиентах прописан?

1. Что показывает tracert (traceroute) с машины в подсети 10.6.1.0 на любую машину в другой подсети (но не рутер)?
2. Если машины в подсетях под WinXP(SP2), то настройки встроенного в WinXP firewall могут препятствовать доступу к этим машинам из других подсетей...

1.tracert показывает сетевуху router_2 10.6.1.2 <10 мs ,
а дальше пишет : Превышен интервал времени для ожидания
2.Машины в подсетях разные(и WIN98 и W2000 и XP), но с router_2 они все пингуются.
Пинг не проходит сквозь router_2.

Когда я прописываю
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 10.5.1.2
начинает пинговаться сетка 10.5.1.0
А без этого ни как!
Насколько я правильно понял происходит подмена IP запрашивающего из сетки 10.6.1.0 на IP 10.5.1.2
В остальные сетки (10.4.1.0) я попадаю(пингом) так же
А как сделать чтобы была видна сетка 10.5.1.0 из сетки 10.6.1.0 из под винды?

Очень странно... Клиетская машина не хочет отвечать на запросы, приходящие не из локальной сети.
Покажите вывод: route print

route print выводить не хочет, пишет что нет такой команды(print)
А просто route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.6.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
10.4.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
10.5.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 10.5.1.1 0.0.0.0 UG 0 0 0 eth1

Может нужно IP сетки поменять? Ну ,что нибудь вроде eth0 192.168.0.0,eth1 192.168.1.0 и т.д?
Щас попробую,потом скажу...

Не нужно...
Попробуйте с клиентской машины выполнить tracert (traceroute) на несуществующий адрес. Обязательно укажите подавление рагрешения IP адреса в имя... Для Linux это `traceroute -n `
Если клиент настроен правильно, то первый хоп будет адрес сетевой карты Вашего рутера.
Вот например...

// Клиентская машина.
[sergeil@anton ~]$ /sbin/ip route show
192.168.100.0/24 dev eth0 proto kernel scope link src 192.168.100.101
default via 192.168.100.100 dev eth0

[sergeil@anton ~]$ netstat -r -n
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.100.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.100.100 0.0.0.0 UG 0 0 0 eth0

// адреса 192.168.102.1 у меня нет...
[sergeil@anton ~]$ traceroute 192.168.102.1 -n
traceroute to 192.168.102.1 (192.168.102.1), 30 hops max, 38 byte packets
1 192.168.100.100 0.496 ms 0.104 ms 0.096 ms

Адрес сетевой карты рутера, к которой подключен клиент 192.168.100.100
То есть, пакет пошел на рутер (шлюз по умолчанию)

1. Я говорил не пинговать узел, а запустить трассировку пути (tracert).

C:\\>tracert 10.2.1.1 -d
Трассировка маршрута к 10.2.1.1 с максимальным числом прыжков 30
  1    <1 мс    <1 мс    <1 мс  10.101.3.17
  2  10.101.3.17  сообщает: Заданный протокол недоступен.
Трассировка завершена.

2. Я просил предоставить `route print` на клиентской машине...

А как трассируется доступный клиентский хост? Покажите вывод...

Проверь роутинг на машине 10.4.1.1.

А при чем тут машина 10.4.1.1?
Я не могу пропинговать 10.4.1.1 ЧЕРЕЗ 10.6.1.2 , который для меня(10.6.1.3) шлюз(10.6.1.2) до тех пор пока не задействую NAT. Или так и должно быть?В смысле с NATом пинговаться, а без него нет?

Так не должно быть. Вам не нужен NAT. Ладно, давайте сделаем по-другому... Попробуем PROXY-ARP. Несколько экзотично, но ничего не поделаешь... Для этого рутер и клиенты должны быть доконфигуирированы...

1. Рутер:

/etc/sysctl.conf
=== добавить
net.ipv4.conf.default.proxy_arp = 1
net.ipv4.conf.all.proxy_arp = 1
net.ipv4.conf.eth0.proxy_arp = 1
net.ipv4.conf.eth1.proxy_arp = 1
net.ipv4.conf.eth2.proxy_arp = 1
===
И выполнить `sysctl -p`. На этом изменения на рутере заканчиваются....

2. Клиенты:
У каждого клиента шлюз по умолчанию должен соответствовать его сетевому адресу, а не адресу шлюза. То есть, для клиента с IP 10.6.1.3, шлюз по умолчанию 10.6.1.3. Для клиента с адресом 10.4.1.3 шлюз по умолчанию 10.4.1.3.

Настраиваем и пробуем...

Элементарно.
1. Успех команды ping - как в "прямом", так и "обратном" движении пакетов.
2. По конечному негативному результату невозможно однозначно определить какой именно компонент не работает - "туда" или "оттуда". А их 3 (три): источник пинга, цель пинга и шлюз.
3. По умолчанию на интерфейсе поднимается роутинг к своей подсети. Как на шлюзе, так и на клиентах.
4. При включении nat на шлюзе источник "прямых" icmp-пакетов меняется на 10.4.х.х. и идет на 10.4.1.1
5. Если icmp-пакеты приходят на 10.4.1.1 с источника в этой же подсети (через nat) - ответы от 10.4.1.1 уходят и (в дальнейшем - через обратное преобразование nat) - к фактическому источнику запросов, а если нет - то нет.
Это означает только одно - 10.4.1.1 НИЧЕГО НЕ ЗНАЕТ О ДРУГИХ ПОДСЕТЯХ (отличных от своей). Т.е. там не приписан "шлюз по умолчанию" как вариант. Рассуждать о статическим роутах не буду. Вариант с "возможным фаейрволлом" не беру, полагаясь на тебя. Шлюз, скорее всего, работает исправно.

Ты и слушать/понимать не хочешь.

За "раздражение" предупреждать не буду. :DB:

УРАААА!!!!! ЗАРАБОТАЛАААА!!!!
Все так и было!
Раскажу по порядку (может кому поможет).
Были две готовые сетки 10.4.1.0 и 10.5.1.0 ,стоял сервак MD ,смотрел в сетки интерфейсами соответственно 10.4.1.1 и 10.5.1.1, все работало.Но тут я решил начать изучать Linux и наваял еще один сервак под Linux'ом с тремя сетевухами соответственно 10.4.1.2,10.5.1.2,10.6.1.2 .А шлюз прописал только на тачке 10.6.1.3! И изза этого все проблемы!
Всем ОГРОМНОЕ СПАСИБО за науку! :thanks:

Ура. ;-)