настройка SuSEfirewall2

[g0a]

В продолжении темы

Присвоил сетевому интерфейсу (шлюза) eth0 несколько IP:

eth0:ADM Link encap:Ethernet HWaddr 00:16:17:EB:89:FF
inet addr:192.168.1.1 Bcast:192.168.1.3 Mask:255.255.255.252
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:20 Base address:0x4000

eth0:AI32 Link encap:Ethernet HWaddr 00:16:17:EB:89:FF
inet addr:192.168.2.1 Bcast:192.168.2.3 Mask:255.255.255.252
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:20 Base address:0x4000

.....

Подключаюсь клиентом (192.168.1.2/30) к серверу (192.168.1.1/30), пингую IP 192.168.1.1 - пингуется (хорошо, IP то с моей сети), пингую 192.168.2.1 - пингуется.

В /etc/sysconfig/SuSEfirewall2 стоит:
FW_ROUTE="no"
FW_MASQUERADE="no"

Что не так? Ведь по идеи 192.168.2.1 пинговаться не должен.

Вообще я хочу запретить ходить всему и вся между сетями, кроме того, что я сам разрешу

[UTiM]

Интерфейсы в одной зоне?
Попробуйте FW_ALLOW_CLASS_ROUTING=no

Кроме того, FW_ROUTE="no" по идее не дает ходить пакетам из одной сети в другую, но оба ваши интерфейса принадлежат серверу, а для него действуют правила из раздела FW_SERVICES...
В принщипе, если вы хотите закрыть именно интерфейс на сервере - поместите его в зону DMZ и пропишите, например FW_SERVICES_DROP_DMZ =192.168.1.2/30,tcp ( и то-же самое для протоколов udp и icmp)

[g0a]

Попробуйте FW_ALLOW_CLASS_ROUTING=no

не помогло + no и так стоит по умолчанию

В принщипе, если вы хотите закрыть именно интерфейс на сервере - поместите его в зону DMZ и пропишите, например FW_SERVICES_DROP_DMZ =192.168.1.2/30,tcp ( и то-же самое для протоколов udp и icmp)

хммм... тогда как из этой сетки я вообще смогу работать? ведь из DMZ ничего не уйдет, если не вошло...

[UTiM]

хммм... тогда как из этой сетки я вообще смогу работать? ведь из DMZ ничего не уйдет, если не вошло...

Вы запрещаете обращаться к серверу через этот интерфейс, пакетам, пришедшим от 192.168.1.2/30 но не пересылать транзитный трафик через него....