Разделение интерфейсов eth0 и eth0:0

покажи /sbin/route

Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 195.67.23.116 * 255.255.255.255 UH 0 0 0 ppp0 172.20.0.0 * 255.255.255.224 U 0 0 0 eth1 192.168.0.0 * 255.255.255.0 U 0 0 0 eth1 default 195.67.23.116 0.0.0.0 UG 0 0 0 ppp0

195.67.23.116 * 255.255.255.255 UH 0 0 0 ppp0

172.20.0.0 * 255.255.255.224 U 0 0 0 eth1

192.168.0.0 * 255.255.255.0 U 0 0 0 eth1

default 195.67.23.116 0.0.0.0 UG 0 0 0 ppp0

а смысл? клиент сменив адрес может попасть в другую сеть в обход роутера. тут нужен VLAN

Машина работает роутером?

ptables не понимает eth0:0

Просто запрети в цепочке forward хождение между этими подсетями.

Да, я знаю, может, но в моем случае такой опасности нет ) VLAN ставить пока нет возможности =(

Запретил методом -A FORWARD -s netw1 -d netw2 -j DROP -A FORWARD -s netw2 -d netw1 -j DROP

не помогло =(

MACами укажи. Тебе нужно не два АйПи на один интерфейс садить, а саму плату на две части физически делить. МАК тоже не поможет, если юзвери знают как МАК менять, но все лучше.

Либо еще одну плату воткни и не мучайся.

Две платы в одном л2 сегменте обеспечат вам геморроя. Можно macvlan попробовать.

Не совсем понятно, что подразумевается под «возможность их взаимодействия», но простого ping'а правло в iptables должно помочь.

Если не работает, то либо неправильные netw1 и netw2, либо вышестоящие правила разрешают эти пакеты. Попробуйте добавлять правило в начало цепочки (через -I). Или можно попробовать написать правило:

iptables -I FORWARD -i eth0 -o eth0 -j DROP

Да? Чем-же, они этот самый обеспечат?

1) грузишь dummy.ko;
2) отрываешь 172.20.0.0/27 от eth0:0, лепишь его к eth1 (который dummy);
3) настраиваешь iptables по вкусу;
4) собираешь eth0 (реальный) и eth1 (dummy) в мост.

3) и 4) можно менять местами.