Jeszcze prawie nic... znaczy mam ograniczone możliwości walczenia bo tylko w weekend kiedy mogę w miarę bez karnie kombinować na bramie głównej. W tygodniu to mi admin nawet pod jego okiem nie pozwoli na manewry.
Generalnie gdzie jestem i przy okazji może podpowiesz dalej.
Topologia:
Router Netia (czyli default gw dla naszej bramy) ---> eth1 interfejs głownej bramy z publicznym IP i ustawionym default gw na router netii --> eth2 (dedykowana karta dla mojej sieci w głownej bramie) ---> Switch z VLAN (dwa porty spięte) ---> kabel kabel kabel ---> WR1043
Teraz co poczyniłem:
- jak widać udało mi się odłączyć od sieci lokalnej - tej nie swojej - poprzez dołożenie karty sieciowe - eth2
- eth2 podłączyłem do switcha z VLAN
- na switchu spiąłem dwa porty i od teraz nie jestem w jednym LANie z "obcymi kompami"
- na głównej bramie wyłączyłem DHCP dla interfejsu eth2
- na głównej bramie do eth2 przypisałem IP 192.168.66.1
- włączyłem SNATowenie na bramie sieci 192.168.66.0 na publiczny IP
- kabel idący od switcha (na chwilę obecną bo tu mam problem) wpiąłem do portu LAN mojego WR1043
- na WR1043 przypisałem (od strony LAN) IP 192.168.66.254
- mój WR jest serwerem DHCP jak i DNSmasq dla mojej sieci
- ale brama domyślna to już 192.168.66.1
no i niby gites ale.... (i tu moje problemy)
- firewalla dla swojej sieci robię na głównej bramie a nie na swoim WR (co jest ciężkie bo nie mam do niego dostępu i mogę dopisać coś tylko w weekend... no i generalnie to nie mój komp)
- sieć do WR wpinam przez LAN a nie WAN - czyli i tak nie mógłbym filtorwać
- nawet jak obecnie wepnę do WAN to będę mógł sobie filtrować po EBTABLES (a to i wolniejsze i słabsze nić IPTABLES)
A tu co bym chciał uzyskać ale z routingiem jakoś mam problem
1) na bramie na eth2 zostaje IP 192.168.66.1
2) dodaję routing na sieć 192.168.67.0 na IP 192.168.66.254 (czyli mój WR) przez dev eth2
3) mój WR od strony WAN na IP 192.168.66.254
4) mój WR od strony LAN ma 192.168.67.1
5) na WR nie robię NATa/MASQ tylko 192.168.67.1 ustawiam jako default gw dla LAN a ten z kolei jako GW ma 192.168.66.254
6) przez to mogę spokojnie filtrować pakiety tak jak mi się podoba i to za pomocą IPTABLES a nie EBTABLES
A teraz pytania adekwatne do punktów powyżej:
Ad. 2 Czy dobrze chcę dodać tam touting
route add -net 192.168.67.0 netmask 255.255.255.0 gw 192.168.66.254 dev eth1
Ad. 5 Tu już na 100% nie wiem co robię 
a może nie musżę
a) nie wiem jak wyłączyć NATowanie LAN-WAN na OpenWRT
b) jak ustawić routing - może tak? :
route add -net 192.168.67.0 netmask 255.255.255.0 gw 192.168.67.1 dev eth0.0 (lub bridge)
route add -net 192.168.66.0 netmask 255.255.255.0 gw 192.168.66.254 dev eth0.1
Proszę rzuć okiem czy ja w ogóle dobrze kombinuję....
Z góry dziękuję.
MM