Добрый день! Помогите советом.
Имеется корпоративный шлюз на Debian 5, на нем 3 физические сетевые платы. Одна eth0 смотрит в интернет (статический адрес), вторая - eth1 в корпоративную сеть (192.168.1.0/24). Через третью необходимо сделать выход в интернет для сторонних организаций (172.16.N.0/24), для этого на ней подняты vlan-ы, и она соединяется с управляемым коммутатором.
На шлюзе поднят NAT (MASQUERADE). Vlan-ы на шлюзе имеют адреса 172.16.N.1.
Для цепочек INPUT и FORWARD применена политика DROP.
Из-за маскарадинга пакеты из подсетей маршрутизируются не только в интернет, но и между самими подсетями.
Необходимо закрыть доступ подсетям между собой.
правило
-A FORWARD -s 192.168.1.0/24 -d 172.16.0.0/16 -j DROP работает, а правила типа
-A FORWARD -s 172.16.N.0/24 -d 192.168.1.0/24 -j DROP или
-A FORWARD -s 172.16.0.0/16 -d 172.16.0.0/16 -j DROP
не работают.
Как ограничить ход пакетов между подсетями?