Je ne sais pas si ca vient de la mais déjà, tes règles ne sont pas bonne
en effet, tu n'as pas à rajouter ceci:
route add -net 192.168.21.0/24 gw 192.168.21.1
route add -net 192.168.4.0/24 gw 192.168.4.2
Ce ne sont pas des gateway mais des interfaces. A partir du moment où tu as configurer tes deux interfaces il saura par ou rediriger les trames du meme réseau
( je ne sais pas si j'ai été très clair)
Donc dans un premier temps retire ces deux routes!

++
Tiens nous au courant ;)

Salut, en effet tu n'est pas obligé de déclarer les réseaux auxquels ta machine est directement connecté, par contre sur le routeur tu dois déclarer le réseau 192.168.4.0 sinon il ne sait pas comment l'atteindre et sur ta debian tu dois mettre une passerelle par defaut qui est l'adresse du routeur. De plus la manière dont tu active l'ip forwarding sur la debian le "1" dans /proc/sys/net/ipv4/ip_forward se remet à zero à chaque redemarrage, il faut que tu mette "yes" dans /etc/network/options pour ip forward ! voila, peut-être que ça pourrait marcher comme ça ;-) bon courage @+

Pardon, j'avais pas vu pour la passerelle par defaut, désolé.

Merci a tous pour ces réponses, mais si je laisse uniquement la route par defaut : add route default gw 192.168.4.1
De la machine debian je ne peux rien pinger du tout

Si tu fais ca:
#ifconfig eth0 192.168.4.2 netmask 255.255.255.0
#ifconfig eth1 192.168.21.1 netmask 255.255.255.0
#route add default gw 192.168.4.1
# echo 1 > /proc/.....

tu devrais avoir une table de routage correct et normalemet toutes les machines devraient se pinger..

Sinon as-tu des règles iptables qui bloqueraient les paquets icmp ??

++

Je voulais dire je ne peut rien pinger sauf le routeur (désolé)
ps : non, je n'ai pas (encore) de regles iptables

Chez moi j'ai dans une situation similaire avec deux cartes reseaux, le NAT et le loopback device ca comme autoput de "route":

Destination Gateway Genmask Flags Metric Ref Use Iface
xx.xx.xx.xx * 255.255.255.0 U 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
loopback * 255.0.0.0 U 0 0 0 lo
default yy.yy.yy.yy 0.0.0.0 UG 0 0 0 eth0

ici xx.xx.xx.xx est le numero IP internet et yy.yy.yy.yy est la passerelle par defaut vers internet/reseau exterieur.
On voit il y a trois passerelles simples associe a chaque carte et le "lo". Celles la sont creees automatiquement avec "ifconfig" (utilise par les scripts de demarrage) quand la carte reseau est configure avec un numero IP. Ils ont l'option U dans la 3eme colonne. Il n'est normalment pas necessaire de les creer soi meme avec route!!! Donc tes commandes routes sont soit inutiles (comme le dit aussi "moi" ci-dessus) ou meme fausse, notamment le "UG" dans chaque ligne est faux.

Apres il n'y a qu'une seule passerelle par default et en principe celle la est cree par une commande comme:

route add default gw yy.yy.yy.yy

/sbin/ifconfig eth0 down
/sbin/ifconfig eth1 down
/sbin/ifconfig eth0 netmask 255.255.255.0 192.168.4.2 up
/sbin/ifconfig eth1 netmask 255.255.255.0 192.168.21.1 up
route add default gw 192.168.4.1

Donne moi la table de routage de la passerelle debian

Je pense que ca doit venir de là !
++

Et de la passerelle du ping le routeur ?

Qu'as tu mis comme passerelle par defaut sur ton pc test ?

192.168.21.1 (soit eth1)

Ton routeur connait-il la route vers le réseau 192.168.21.0 ?
si non configure ton routeur pour

si tu peux pas essaie d'activer le NAT sur ta passerelle!
$iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

MERCI CA MARCHE

Merci à tous et particulièrement a "moi" pour son aide.

Alors pour recapituler rapidement :
Destination     Passerelle     Genmask     Indic Metric Ref Use Iface
192.168.21.0     0.0.0.0     255.255.255.0     U 0 0 0 eth1
192.168.4.0     0.0.0.0     255.255.255.0     U 0 0 0 eth0
0.0.0.0         192.168.4.1     0.0.0.0         UG 0 0 0 eth0

Il n'y a en fait aucune route a ajouter, celles par défaut fonctionnent à merveille.
Pour que l'ip forwarding soit automatique, dans /etc/network/interfaces je fais un

up echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

PS : est-ce que tout passe au travers (ftp, pop, snmp, etc ...), ou faut-il rajouter des modules/regles ?

Cote client oui, cote serveur par defaut seulement sur la passerelle.
Ca depends de ce que tu as comme firewall. En principe tu as interet de mettre un vrai script iptables qui definit les regles pour forward etc., regarde ici:
http://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/
Tu y trouves un script en version simple dans la section 3.4.1 et en version plus severe dans la section 3.6.1. Les deux font firewall pour les pcs derrieres et le 2nd fait firewall aussi pour la passerelle.
Si tu veux mettre un serveur dans le sous-reseau il faut rediriger de ports, => section 6.7.1