Господа, вопрос.
Стоит роутер со следующим набором правил по стандарту
add 00051 divert 8668 ip from any to me via em0
add 00100 allow ip from any to me
add 00200 allow ip from me to any
add 60000 deny ip from any to any

Через роутер ходят в интернет задавая следующий комплект правил для включения:
05198 allow ip from any to 192.168.1.100
05199 allow ip from 192.168.1.100 to any

У роутера IP - 192.168.1.1

Была подсетка 192.168.1/24
Открылась подсетка 192.168.2/24

Маска в первой подсети стоит 255.255.255.0 и заменить ее сразу проблематично. Соответственно весь трафик во вторую из первой идет через роутер, что не есть хорошо.

Так вот, нужно закрыть марщрутизацию из первой подсети в другую и наоборот. При этом оставив маршрутизацию во внешний мир. Какие варианты можете предложить?

• Маршрутизация подсетей,ABS, 22:19 , 15-Мрт-04
  • Маршрутизация подсетей,Nikolaev D., 22:29 , 15-Мрт-04
    • Маршрутизация подсетей,ABS, 22:52 , 15-Мрт-04
      • Маршрутизация подсетей,Nikolaev D., 00:15 , 16-Мрт-04
        • Маршрутизация подсетей,ABS, 00:42 , 16-Мрт-04

UP, можт не заметили

>UP, можт не заметили

изложите вопрос внятно.

>>UP, можт не заметили
>
>
>изложите вопрос внятно.

Извиняюсь, а что не внятно?

Мне нужен вариант, как фаерволом, натом, либо еще чем то закрыть маршрут из одной моей подсетки в другую... Так чтоб трафик между ними не фигачил через сервер. При этом я описываю ту ситуацию, которая сейчас есть на сервере, который нельзя остановить, и изменения нужно внести налету. Без экспериментов. Кто-нибудь может предложить наиболее грамотный вариант в данной ситуации?

>Мне нужен вариант, как фаерволом, натом, либо еще чем то закрыть маршрут
>из одной моей подсетки в другую... Так чтоб трафик между ними
>не фигачил через сервер.

ipfw add 100 deny ip from 192.168.0.1/24 to 192.168.0.2/24 via внтур_интерфейс
ipfw add 200 deny ip from 192.168.0.2/24 to 192.168.0.1/24 via внтур_интерфейс

man ipfw

>>Мне нужен вариант, как фаерволом, натом, либо еще чем то закрыть маршрут
>>из одной моей подсетки в другую... Так чтоб трафик между ними
>>не фигачил через сервер.
>
>
>ipfw add 100 deny ip from 192.168.0.1/24 to 192.168.0.2/24 via внтур_интерфейс
>ipfw add 200 deny ip from 192.168.0.2/24 to 192.168.0.1/24 via внтур_интерфейс
>
>man ipfw

Спсибо за ответ.

Я конечно понимаю, тут сидят крайне умные админы, лишь бы тыкнуть мордой в ман... Может у меня конечно заклин, и я чего то не понимаю. Но, внимательно почитать мое первое сообщение не мешало бы.

А вот у меня нат бежит... Что будет с ним? И интерфейс тут совершенно не причем. Шлюз у меня на этом сервере.

ipfw add 100 deny ip from 192.168.1.1/24 to 192.168.0.2/24 via
внтур_интерфейс
ipfw add 200 deny ip from 192.168.2.1/24 to 192.168.0.1/24 via внтур_интерфейс

Смотрим - побежал пакетик из внешней сети во внутреннею

внутренний адрес 192.168.2.33
внешний адрес 213.180.x.x

допустим ситуация сейчас

ipfw list
00051 divert 8668 ip from any to me via em0
00100 allow ip from any to me
00200 allow ip from me to any
06034 allow ip from any to 192.168.2.33
06034 allow ip from 192.168.2.33 to any
60000 deny ip from any to any

добавляем указанные выше правила

00051 divert 8668 ip from any to me via em0
00100 allow ip from any to me
00200 allow ip from me to any
00300 deny ip from 192.168.1.1/24 to 192.168.2.1/24 via внтур_интерфейс
00400 deny ip from 192.168.2.1/24 to 192.168.1.1/24 via внтур_интерфейс
06033 allow ip from any to 192.168.2.33
06034 allow ip from 192.168.2.33 to any
60000 deny ip from any to any

Но, мы помним, что у шлюза на внутреннем интерфейсе как раз 192.168.1.1, который входит в эту подсетку 192.168.1.1/24.

Что будет в этом случае?
Ну, никак не получается полноценного варианта,  либо
06033 allow ip from any to 192.168.2.33
06034 allow ip from 192.168.2.33 to any
отменит все.

Либо, вот это не даст работать вообще ничему.
00300 deny ip from 192.168.1.1/24 to 192.168.2.1/24 via внтур_интерфейс