Как запретить пересылку трафика между интерфейсами (forwarding)

[remalex]

Смотрит в инет
eth0      Link encap:Ethernet  HWaddr 00:25:90:66:4c:52
          inet addr:10.0.6.233  Bcast:10.0.6.255  Mask:255.255.255.0
          inet6 addr: fe80::225:40ff:fe66:4c52/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3804686 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2235721 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:4901186361 (4.9 GB)  TX bytes:196621256 (196.6 MB)
          Interrupt:16 Память:fb5e0000-fb600000

Смотрит в сеть
eth1      Link encap:Ethernet  HWaddr 00:24:90:64:9c:53
          inet addr:10.0.5.1  Bcast:10.0.5.255  Mask:255.255.255.0
          inet6 addr: fe80::245:904f:fe46:4c53/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2345502 errors:0 dropped:92 overruns:0 frame:0
          TX packets:3810090 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:210596135 (210.5 MB)  TX bytes:4810342802 (4.8 GB)
          Interrupt:17 Память:fb6e0000-fb700000

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:26413 errors:0 dropped:0 overruns:0 frame:0
          TX packets:26413 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:6396398 (6.3 MB)  TX bytes:6396398 (6.3 MB)

Влан поднят на интерфейсе eth1, тоже смотрит в сеть

vlan20    Link encap:Ethernet  HWaddr 00:45:90:46:9c:53
          inet addr:192.168.28.1  Bcast:192.168.28.255  Mask:255.255.255.0
          inet6 addr: fe80::225:904f:fe46:9453/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:229 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:54449 (54.4 KB)

Как запретить хождение трафика между eth1 и vlan20?

[xeon_greg]

Код: [Выделить]

sudo sysctl net.ipv4.ip_forward ?

[AnrDaemon]

Код: [Выделить]

sudo sysctl net.ipv4.ip_forward ?

Вообще-то это запретит весь транзит. Сомневаюсь, что это нужно автору топика.
@афтар: если отвечать на вопрос так, как ты его ставишь:
iptables -I FORWARD -i vlan20 -o eth1 -j REJECT --reject-with icmp-net-prohibited
iptables -I FORWARD -i eth1 -o vlan20 -j REJECT --reject-with icmp-net-prohibited

[remalex]

net.ipv4.ip_forward = 1

Vlan20 и eth1 и две подсети, которые через данный сервер имеют доступ к интернету. Необходимо что бы они имели доступ в инет и не имели доступа между друг другом.

Сейчас я из одной сети могу пропинговать компы с друой сети. Нужно изолировать их.

[fisher74]

AnrDaemon уже ответил.
Хотя я бы для начала посмотрел бы все правила на предмет их праноидальности. Чую что там дыра размером с галактику.

[remalex]

Там точно дыра, так как я сильно в этом не соображаю, все выполнял по мануалам. Может чтонить выложить, чтобы вы посмотрели?

[fisher74]

Конечно выкладывайте. Кто-нибудь посмотрит и подскажет. Ну или, как минимум, направит на путь истиный.
Показывайте действующие правила командой sudo iptables-save. Разводку инетрфейсов Вы уже показали.
А.. и задачи, конечно, тоже озвучьте.