разделить две подсети

[SuiCuD]

Помогите разделить две подсети. Есть 2-ва офиса, для того что бы они друг друга не могли видеть и слышать в сети, я им присвоил 2-ве разные подсети. Но т.к. у них обший шлюз у которого на 1-й сетевой 2-ва ИП адресса, с раными подсетями (он же выход в сеть). То шлюз видит обе подсети и создает маршрутизацию между подсетями. Выходит подсети разные, а видят они друг друга как будто в одной подсети. Как закрыть все это дело. Шлюз под управлением Ubuntu server 12.04.1 , в качестве прокси squid3. 2-ве сетевые 1-я в интернете, 2-я (на ней 2-ва адреса) в сети. Нужно полность закрыть доступ между подсетями, что бы не пинговать, не попасть друг к другу, не могли вообще ничего, не прикаких обстоятельствах. Я так думаю где то маршрутизацию убрать надо только где?? Я мал в этом..
Если какой то лог скинуть или еще то только скажите....

[AnrDaemon]

Заблокировать пересылку пакетов между ними.

[drako]

Две подсети на одной сетевой и наверняка еще на одном свиче - вариант с закрытием пересылки не в тему явно.
Решения по крайней мере 2:
1. Физическое разнесение подсетей и запрет пересылки данных на шлюзе.
2. Логическое разнесение(использование vlan, при условии поддержки технологии оборудованием) и запрет пересылки на шлюзе.

[AnrDaemon]

drako, всё равно запрещать пересылку на шлюзе... Наверное, стоит начать с этого, а потом рассуждать, что в тему, а что - нет?

[SuiCuD]

drako, всё равно запрещать пересылку на шлюзе... Наверное, стоит начать с этого, а потом рассуждать, что в тему, а что - нет?

Ну и вопрос в этом, как запретить пересылку на шлюзе?

[ArcFi]

Ну и вопрос в этом, как запретить пересылку на шлюзе?

Запретить всё и разрешить только то, что нужно.

[SuiCuD]

Ну и вопрос в этом, как запретить пересылку на шлюзе?

Запретить всё и разрешить только то, что нужно.

Простите если че но если бы я знал как я бы не спрашивал. Вопрос по другому: "КАКУЮ НАСТРОЙКУ НАДО ПОМЕНЯТЬ ИЛИ ЧТО ПРОПИСАТЬ, ЧТОБЫ ПРЕКРАТИТЬ ВЕЩАНИЕ МЕЖДУ ПОД СЕТЯМИ". Напомню я мал в Ubuntu и весь сервер настроил благодаря тому что все было в гугле. Все кроме этого.

[ArcFi]

Либо изменить политику для цепочки (iptables --policy), либо добавить соответствующее правило в конец цепочки.

[SuiCuD]

Либо изменить политику для цепочки (iptables --policy), либо добавить соответствующее правило в конец цепочки.

Можно по подробней? Какую цепочку и какую политику добавить в iptables нужно?

[ArcFi]

Таблица filter цепочка FORWARD.

[SuiCuD]

Таблица filter цепочка FORWARD.

Ну а что писать та туда?

[drako]

drako, всё равно запрещать пересылку на шлюзе... Наверное, стоит начать с этого, а потом рассуждать, что в тему, а что - нет?

Это вы сейчас "с умничали" или тупить продолжаете?

Предупредил по 2.3 — Дмитрий Бо

[SuiCuD]

drako, всё равно запрещать пересылку на шлюзе... Наверное, стоит начать с этого, а потом рассуждать, что в тему, а что - нет?

Это вы сейчас "с умничали" или тупить продолжаете?

Предупредил по 2.3 — Дмитрий Бо

Я сейчас взорвусь. Не кто из вас не дал не 1-го совета, вообще. Ну что за помощь от слов: Нужно запретить пересылку на шлюзе или разделить сети физически. Но это и так понятно и не надо быть гением что бы до этого догадаться, но мне то какая польза от этого?? Дайте хоть 1-н рабочий совет.
Пользователь решил продолжить мысль 17 Ноября 2012, 16:12:21:Что я заметил это уже методом тыка т.к. сам не понимаю что нажимаю:
1) /etc/sysctl.conf строчка net.ipv4.ip_forward=1 поставить 0, то адресация пропадает. Но тогда пропадает и интернет, что не подходит.
2)Если вбить строчку iptables -A OUTPUT -o eth0 -d 192.168.10.0/24 -j DROP то от под сети 192.168.10.0 уже не получится достучатся до СЕРВЕРА (но только до него), но при этом пересылка пакетов к под сети и наоборот 192.168.5.0 продолжается.
Настройки eth0 192.168.5.0/24, eth0:1 192.168.10.0/24 и eth1 интернет.
Вот что дальше делать что бы запретить forward между eth0 и eth0:1 но при этом у eth0 и eth0:1 был forward с eth1.

Как бы помощи жду код какой нибудь (рабочий) т.к. сам таблицы составлять не умею.

[AnrDaemon]

Как бы давно пора взять в руки документацию по iptables и начать её читать.
Бог помогает тем, кто сам себе помогает. Мы же тут не боги, нам сложнее.
Сказали запретить ПЕРЕСЫЛКУ.

iptables -t filter -A FORWARD -s 192.168.0.0/16 -d 192.168.0.0/16 -j DROP

Домашнее задание - написать, что это правило делает. На русском.

[SuiCuD]

Как бы давно пора взять в руки документацию по iptables и начать её читать.
Бог помогает тем, кто сам себе помогает. Мы же тут не боги, нам сложнее.
Сказали запретить ПЕРЕСЫЛКУ.

iptables -t filter -A FORWARD -s 192.168.0.0/16 -d 192.168.0.0/16 -j DROP

Домашнее задание - написать, что это правило делает. На русском.

Ох спасибо большущие самый идеальный ответ который заработал!!!
Для моей под сети прописал следующее: iptables -t filter -A FORWARD -s 192.168.10.0/24 -d 192.168.5.0/24 -j DROP
Ура наконец то!