запретить netbios на шлюзе

[hs85]

Друзья, приветствую!
Есть шлюз с валидным адресом, через который мы все бегаем в мир.
Из валидной сети провайдера видна офисная сеть того же провайдера.
По итогу, она видна и у нас, что несколько огорчает руководство. Понятно, что нам это ничем не грозит, но руководство нервничает.
Я попытался в iptables заблочить офисную сеть провайдера для наших адресов следующим образом:

Код: [Выделить]

iptables -A FORWARD -s 192.168.77.0/24 -d 10.122.254.0/24 -j DROP
iptables -A FORWARD -s 192.168.78.0/24 -d 10.122.254.0/24 -j DROP
iptables -A FORWARD -s 192.168.79.0/24 -d 10.122.254.0/24 -j DROP
Как вы понимаете, 10.122.254.0 - сеть провайдера.

Собственно, ни на что это не повлияло и я продолжаю видеть их компы.
Где я ошибся?

[AnrDaemon]

Где я ошибся?

В предоставленной информации.
Показывайте iptables-save (под спойлер!)…

[hs85]

Это можно.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# Generated by iptables-save v1.6.0 on Tue Dec 15 18:19:38 2020
*filter
:INPUT ACCEPT [106173:7957640]
:FORWARD ACCEPT [32284:12979783]
:OUTPUT ACCEPT [19907:3299052]
:countrydrop - [0:0]
:f2b-ASTERISK - [0:0]
:f2b-asterisk-tcp - [0:0]
:f2b-asterisk-udp - [0:0]
:f2b-sshd - [0:0]
:sshguard - [0:0]
-A INPUT -p udp -m multiport --dports 5060,5061 -j f2b-asterisk-udp
-A INPUT -j f2b-ASTERISK
-A INPUT -p tcp -m multiport --dports 5060,5061 -j f2b-asterisk-tcp
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -m mac --mac-source 40:4A:03:CE:BC:56 -j DROP
-A INPUT -p udp -m multiport --dports 5060,5061 -j f2b-asterisk-udp
-A INPUT -p tcp -m multiport --dports 5060,5061 -j f2b-asterisk-tcp
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -p tcp -m state --state NEW -m tcp --dport 1522 -m recent --set --name SSH --mask 255.255.255.255 --rsource
-A FORWARD -s 192.168.1.0/24 -d 10.122.254.0/24 -j DROP
-A FORWARD -s 192.168.17.0/24 -d 10.122.254.0/24 -j DROP
-A FORWARD -s 192.168.77.0/24 -d 10.122.254.0/24 -j DROP
-A f2b-ASTERISK -s 5.182.209.21/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-ASTERISK -s 80.94.93.114/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-ASTERISK -s 103.145.13.109/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-ASTERISK -s 185.147.215.14/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-ASTERISK -j RETURN
-A f2b-asterisk-tcp -s 46.105.117.221/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-asterisk-tcp -s 89.239.43.62/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-asterisk-tcp -s 103.145.12.17/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-asterisk-tcp -j RETURN
-A f2b-asterisk-tcp -j RETURN
-A f2b-asterisk-udp -s 46.105.117.221/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-asterisk-udp -s 89.239.43.62/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-asterisk-udp -s 103.145.12.17/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-asterisk-udp -j RETURN
-A f2b-asterisk-udp -j RETURN
-A f2b-sshd -j RETURN
-A f2b-sshd -j RETURN
-A sshguard -m state --state NEW -m recent --update --seconds 10800 --name SSH --mask 255.255.255.255 --rsource -j ACCEPT
-A sshguard -m state --state RELATED,ESTABLISHED -j ACCEPT
-A sshguard -j DROP
COMMIT
# Completed on Tue Dec 15 18:19:38 2020
# Generated by iptables-save v1.6.0 on Tue Dec 15 18:19:38 2020
*nat
:PREROUTING ACCEPT [31644498:3430746116]
:INPUT ACCEPT [25674836:1809503628]
:OUTPUT ACCEPT [19324:2926531]
:POSTROUTING ACCEPT [19673:2973366]
-A POSTROUTING -s 192.168.77.0/24 -o ens192 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -o ens192 -j MASQUERADE
-A POSTROUTING -s 192.168.17.32/27 -o ens192 -j MASQUERADE
-A POSTROUTING -s 192.168.17.32/27 -d 192.168.1.0/24 -j MASQUERADE
-A POSTROUTING -s 192.168.17.32/27 -d 192.168.17.1/32 -j MASQUERADE
-A POSTROUTING -s 10.77.11.0/24 -d 192.168.17.32/27 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -d 192.168.17.32/27 -j MASQUERADE
-A POSTROUTING -s 192.168.77.0/24 -d 192.168.17.32/27 -j MASQUERADE
COMMIT
# Completed on Tue Dec 15 18:19:38 2020
# Generated by iptables-save v1.6.0 on Tue Dec 15 18:19:38 2020
*mangle
:PREROUTING ACCEPT [666068781:366271669344]
:INPUT ACCEPT [385612584:30725475884]
:FORWARD ACCEPT [279350789:335441295131]
:OUTPUT ACCEPT [344187249:447738669298]
:POSTROUTING ACCEPT [623538028:783179963803]
COMMIT
# Completed on Tue Dec 15 18:19:38 2020

[AnrDaemon]

Код: [Выделить]

-P INPUT DROP
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -I INPUT 1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT


-m state не стоит использовать.

[snowin]

netbios работает по конктретным портам, вот их и нужно дропать

[AnrDaemon]

snowin, глупое предложение.