Маршрутизация по воротам

Обычно шлюз (, в этом случае ваша система 10.0.0.1 )будет отправлять сообщения перенаправления ICMP, чтобы направить клиентов на другой шлюз, если у него есть маршрут к требуемой сети через другой хост в той же сети (т.е. 10.0.0.100 в вашем случае ).

Однако для этого необходимо добавить правило iptables, разрешающее переадресацию из внутренней сети во внутреннюю сеть, что, возможно, звучит нелогично, но на самом деле так оно и есть, поскольку оно фактически отправляет трафик из внутренней сети во внутреннюю сеть..

Добавьте следующее правило:

iptables -A FORWARD -i br0 -o br0 -j ACCEPT

Теперь, когда клиентский хост в вашей сети 10.0.0.0/25 хочет получить доступ к 172.20.10.x,этот хост отправляет пакет на свой шлюз по умолчанию, то есть 10.0.0.1. Этот шлюз по умолчанию знает, что маршрут к 172.20.10.0/25 проходит через 10.0.0.100, поэтому он отправляет обратно на клиентский хост пакет ICMP redirect 172.20.10.x to host 10.0.0.100. Хост-клиент добавляет временный маршрут для целевого хоста и будет использовать 10.0.0.100 в качестве шлюза для этого хоста.

Хост клиента должен быть настроен на прием таких перенаправлений ICMP, так как они могут представлять проблему безопасности, когда мошеннические перенаправления отправляются для перенаправления трафика на фальшивый шлюз, однако это значение по умолчанию в Linux, Windows также их принимает. В Linux им можно управлять с помощью параметра net.ipv4.conf.default.accept_redirectssysctl.

К предыдущему ответу @Wurtel я бы добавил, что вам также нужно будет ввести:

echo 1 > /proc/sys/net/ipv4/ip_forward

Кроме того, вы также должны маскировать свои связи,:

IPTABLES -t nat -A POSTROUTING -o eth0 -j MASQUERADE

В противном случае исходящий трафик не будет обрабатываться должным образом.