Есть общая сеть организации(10.72.128.0/21) и есть сеть бухгалтерии(10.72.101.0/25). Это 2 физически разные сети. Между ними стоит маршрутизатор на базе Alt Linux Server 4 c 2 интерфейсами 10.72.143.166 и 10.72.101.126 между ними настроена машрутеризация. Из общей сети организации запрещен доступ к сети бухгалтерии, а бухгалтерия ходит в общую сеть организации только строго на определенные сервера (Гарант(10.72.143.198), антивирус, и т.д.).
Есть скрипт iptables.sh
#!/bin/bash
net_buh=10.72.101.0/25
iptables -F
iptables -X
iptables -t nat -F
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -t nat -A POSTROUTING -s $net_buh -o eth0 -j SNAT --to-source 10.72.143.249
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
iptables -A FORWARD -s $net_buh -d 10.72.143.198/32 -j ACCEPT
iptables -A FORWARD -s 10.72.143.198/32 -d $net_buh -j ACCEPT
iptables -A FORWARD -j DROP
TX packets:4237259 errors:0 dropped:0 overruns:0 carrier:2
Сетевые кабеля переткнул в другие порты коммутатора. Сетевым анализатором Wireshark проверил трафик, битых пакетов, какой-то бурной активности (вроде вирусной) не заметно. Логи на Alt Linux чистые — ошибок нет. Из внутренней сети организации все сервера прекрасно пингуются проблем нет. В форумах почитал про потерю\подмену mac-адресов — mac-адреса стабильные. Если в приведённом скрипте убрать NAT — и прописать внешнею маршрутизацию, то скорость доступа к сети организации падаёт в разы. Никакой хитрой маршрутизации, кроме то, что по умолчанию нет. Но проблема остаётся в бухгалтерии остаётся. А теперь о сексе. Когда сетевые соединения отваливаются, Гарант падает с ошибкой. Несколько раз в день бухгалтерия меня имеет, но не тело, а выносит мозг. Чем-то напоминает изнасилование. ;) Поэтому как настроить файервалл с Alt Linux, чтобы секс со стороны бухгалтерии прекратить? ;)