vlan и iptables

надо посмотреть вот на это:

1. На шлюзе поднят NAT (MASQUERADE).

2. Для цепочек INPUT и FORWARD применена политика DROP.

3. Из-за маскарадинга пакеты из подсетей маршрутизируются не только в интернет, но и между самими подсетями.

я имею в виду надо показать, чтобы мы посмотрели)

Замись маскарадинга для сети 172.16.0.0/16 надо использовать SNAT + закрыть в цепочки FORWARD пересылку на интерфейс eth1 в корпоративную сеть.. Я бы сделал так

ifconfig сюда, iptables-save - на pastebin.com

вот вывод ifconfig и iptables-save, немного порезанный, чтобы скрыть реальные IP

root@server:~# ifconfig

eth0 (Internet NIC)

eth1 Link encap:Ethernet HWaddr 00:26:18:83:d4:cb inet addr:192.168.1.245 Bcast:192.168.1.255 Mask:255.255.255.0

eth2 Link encap:Ethernet HWaddr 00:c0:26:2d:0f:e6 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:2915595 errors:0 dropped:0 overruns:0 frame:0 TX packets:3113187 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:701824290 (701.8 MB) TX bytes:710606213 (710.6 MB) Interrupt:17 Base address:0xe400

eth2.71 Link encap:Ethernet HWaddr 00:c0:26:2d:0f:e6 inet addr:172.16.1.1 Bcast:172.16.1.255 Mask:255.255.255.0

eth2.72 Link encap:Ethernet HWaddr 00:c0:26:2d:0f:e6 inet addr:172.16.3.1 Bcast:172.16.3.255 Mask:255.255.255.0

eth2.73 Link encap:Ethernet HWaddr 00:c0:26:2d:0f:e6 inet addr:172.16.4.1 Bcast:172.16.4.255 Mask:255.255.255.0


iptables тут http://pastebin.com/CNEbvHFt

iptables -I FORWARD 1 -i eth2.71 -d <lan_net> -j DROP
разве так не будет работать?

либо
-A FORWARD -i eth2.7* -o eth1 -j DROP

Пробовал уже. Несмотря на очевидность, не работает. Не понимаю, почему.

правило повыше подними ;)

Спасибо, сработало) Меня сильно заклинило, вообще забыл про порядок правил....

Конечно у тебя сети будут видеть друг друга, ведь написано же:

-A FORWARD -s 172.16.0.0/16 -j ACCEPT

В /16 все твои vlan'ы входят есличо. И ты им прямо и разрешаешь обращаться куда угодно и к кому угодно :)