Почему я могу достигнуть IP-адреса другого интерфейса?
Параметры настройки системы> Клавиатура> Ярлыки> Навигация> Скрывают все нормальные окна
Нажмите второе поле, которое говорит Disabled и введите в предпочтительном сочетании клавиш (например, Ctrl+Alt+D).
Системный перезапуск может требоваться для изменений вступить в силу.
Мой вопрос: Почему для компьютера на 172.16.2.0/24 подсети возможно проверить с помощью ping-запросов 172.16.1.1 (IP-адрес интерфейса eth1)?
Поскольку Вы позволили его, и Linux делает это по умолчанию.
Linux использует то, что называют слабой моделью хоста. Это означает, когда это получает пакет, прибывающий из eth2, это будет полагать, что пакет для него, если адрес назначения будет IP-адресом какого-либо из его интерфейсов, не только eth2. Даже если передача отключена.
Так, чтобы пакет ввел рычаг PREROUTING, ядро затем видят, что адрес назначения - так возобновите ВХОДНОЙ рычаг, и Вы принимаете весь ICMP от eth2, таким образом, пакет принят.
Можно проверить с помощью ping-запросов 172.16.2.0/24 подсеть от 172.16.1.1, в то время как брандмауэр не включает основанные на IP правила, и Вы позволяете весь трафик от обоих eth1 и eth2 кому: eth0 (не IP базировался, включая такое перенаправление и задние пакеты),
Хорошим путем является к Отбрасыванию explicitely весь пакет, связанный с IP локальной подсети:
iptables -I FORWARD -i eth0 -d 192.168.0.0/16 -j DROP
iptables -I FORWARD -i eth0 -d 172.16.0.0/12 -j DROP
iptables -I FORWARD -i eth0 -d 10.0.0.0/8 -j DROP
iptables -A FORWARD -i eth1 -s 172.16.1.1/24 -o eth0 -j ACCEPT
iptables -A FORWARD -o eth1 -d 172.16.1.1/24 -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth2 -s 172.16.2.1/24 -o eth0 -j ACCEPT
iptables -A FORWARD -o eth2 -d 172.16.2.1/24 -i eth0 -j ACCEPT
Для образца, где eth2 связан с Вашим dmz и eth1 к localnet.
с этим, Вы май способным к доступу 172.16.2.1/24 от 172.16.1.1/24, но не другим способом!