В общем после ряда экспериментов с ipchains возник вопрос:

На Линуксе три сетевых интерфейса: один в большой мир, второй моя интрасеть, третья - кабелек на интрасеть дружественного соседа...

Сделал ipchains -P forward DENY, открыл себе forward-ы и MASQ-и куда надо.

Теперь хочется сделать так, чтобы мужду большим миром и интрасетью соседа был ACCEPT на все и вся, т.е. чтобы уже у него голова болела кого куда брать-не брать, но чтобы он не попадал на мои сетки (их много, нарезанных уже вне Линукса, на Нетвари-роутере) со своих сеток (их тоже много).

ipchains не позволяет в качестве -s и -d указывать интерфейс (я вообще не понял смысл ключа -i, хотя перечитал и HOW-TO, и man-ы).

Как быть? Не хочется перечислять -! все сетки там и тут, хочется быть привязанным только к интерфейсам.

Заранее сенксы и регардсы.