Hola Antonio, a ver que me aclare... Supongo q damos por hecho que tienes el forwarding activado en tu router debian (en "/etc/network/options" poner el ip_forward=yes y luego reinicia la red "/etc/init.d/networking restart"). Para que tu debian enrute por defecto todo paquete que le llegue para el que no tenga ruta estática, tu router B tiene que ser su default gw. Es decir, que has de tener en la debian un "route add default gw 10.104.1.33".
Tu regla "iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE" es correcta si quieres que en esa red todo provenga de la ip de tu debian (10.104.1.34) sin que se vean las ips que hay detrás. Aunque no lo pintas en tu dibujo, he de suponer que detrás del router A está la red 172.21.0.0/16 por lo que, siendo correcto que tu dhcp ponga a las máquinas cliente como default gw la ip del router debian, en el router debian deberías tener otra ruta "route add -net 172.21.0.0 netmask 255.255.0.0 gw 192.168.4.1" para que las máquinas cliente alcancen también esta red. Esto no sirve de nada si las máquinas que están en esa red no tienen una ruta de vuelta. Es decir, que si en esa subred todas las máquinas tienen como default gw la ip de esa subred del router A, ya podrán comunicarse con tus máquinas cliente. Y si además en el router A pones como default gw la ip 192.168.4.201 ya las de la subred 172.21.0.0/16 podrían llegar hasta la 10.104.1.33 Lo del proxy no se para que lo utilizas, lo que estás haciendo no es un bridge, es un router. También estamos suponiendo que no tienes otras reglas de iptables que estén en conflicto. Si no tienes más reglas de iptables, te sugiero que te hagas un script del tipo: #!/bin/bash echo "Lanzando Firewall!!!!" #Politicas por defecto en aceptar iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT #Limpiar las reglas cada vez que se ejecuta el script iptables -F iptables -t nat -F #para enmascarar lo que salga por tu interfaz eth1 iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE #para enrutar hacia el router A todo lo de esa red route add -net 172.21.0.0 netmask 255.255.0.0 gw 192.168.4.1 Espero haberte ayudado. Un saludo. Elvis -----Mensaje original----- De: Antonio Trujillo Carmona [mailto:[EMAIL PROTECTED] Enviado el: lunes, 02 de octubre de 2006 23:21 Para: debian-user-es Asunto: sobre rutas Creía que lo sabia pero no me funciona, luego no lo se. Tengo que cambiar la estructura de una red grande y en producción, La estructura actual es: los PC tiene una IP fija de una red 192.168.4 con ruta por defecto a 192.168.4.201 y una ruta a una red 172.21 puesta hacia 192.168.4.1 y el proxy puesto hacia 192.168.4.201:8080 Algunos PC (no se cuales son mas) tienen ruta por defecto a 192.168.4.1 El ruter (un debian por supuesto) 192.168.4.201 enmascara todas las demás rutas y las manda a 10.104.1.33 (otra red conectada a otra tarjeta de el) La estructura buscada es que todo se cargue por dhcp: la asignación de ip y ruta por defecto funciona usando el dnsmasq. la asignación automática proxy funciona usando el protocolo wpad. la ruta a 172 funciona solo con tener bien las rutas en el ruter. El enmascaramiento y redireccionamiento no funciona. Lo tengo montado físicamente de esta forma: router A | | router Linux | 192.168.4.1|------|br0(eth2 eth0) |-----|swich|--red interna | |192.168.4.201 | | | | | router B | | | 10.104.1.33|------|eth1 | | |10.104.1.34 | |255.255.255.224| He optado por poner el router en un "birdge" para que iban funcionando los PC que tienen al 4.1 como ruta por defecto, (ya digo que esta en producción y son mas de 100 PC por lo que tardare varios días). La ruta por defecto que les he puesto a los que voy pasando a dhcp es la 192.168.4.201 la ruta a la dirección 172 la he puesto con: route add -net 172.21.0.0 netmask 255.255.0.0 gw 192.168.4.1 la ruta por defecto del router linux es la 10.104.1.33 La única regla que he puesto en iptables (el tema de la seguridad lo dejo para cuando funcione) es: iptables -t nat -A POSTROUTING -j MASQUERADE -o eth1 Esperaba que cualquier intento de conexión a una dirección que no fuera de la red 192 ni de la 172 saliera enmascarada por el router B pero no sale.
