Итак, уперся в проблему. Для тестов необходимо поднять на виртуалках изолированую сеть. Такое вообще возможно средствами iptables сделать? Pfsense и vlan - применить не возможно(( Различные режими виртуальных сетей, типа виртуальная сеть хоста NAT в VirtualBox - тож не подходят, ибо они видят локалку.
Вводные:
Есть некий сервер на debian c двумя сетевыми интерфейсами.
Первый eth0 смотрит в локальную сеть 192.168.0.1/24 с интернетом и имеет адрес 192.168.0.200. Второй eth1 должен служить шлюзом для сети 10.10.11.1/24 и имеет адрес 10.10.11.1. Там должен быть интернет, но не должно быть доступа к сети 192.168.0.1/24.
Пробовал различными правилами, но всегда результат один - инет есть и доступ к 192.168.0.1/24 тоже. Например
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
sudo iptables -A FORWARD -i eth1 -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
Или вот еще так, но это просто форвардит все.
sudo iptables -P FORWARD DROP
sudo iptables -A FORWARD -i eth1 -o eth0 -s 10.10.11.0/24 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o eth1 -d 10.10.11.0/24 -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.10.11.0/24 -o eth0 -j SNAT --to-source 192.168.0.200
Подскажите, как заблочить доступ к 192.168.0.1/24.
