Linux routing

Momenteel heb ik mijn Linux server met diverse vlans voorzien. Verder noem ik 'm router, omdat deze deze functie gaat hebben.

Standaard word alles gerouted, dus vlans hebben connectie met vlans, totdat ik zeg dat ze dat niet hebben door bijvoorbeeld een iptables rule: "iptables -A FORWARD -i eth0.2 -o eth0.7 -j DROP". Er mag niets meer van vlan 2 naar vlan 7 toe, dit klopt. Maar het lokale IP adres op de router van vlan 7 die blijft wel bereikbaar voor vlan 2 wat niet wenselijk is. (eigenlijk alle lokale ip adressen van de router)

Hoe kan ik er voor zorgen dat de lokale IP adressen van de interfaces ook echt bij hun eigen interface horen?

Maar in normale regels kan ik niet zo werken met input en output interface. Wel mogelijk is het natuurlijk om een subnet bv bij de INPUT chain als -i eth0.2 en -d 10.0.70.0/24 te zetten. Maar echt bevalt me dit ook weer niet. Wellicht wil ik op een gegeven moment wel het een en ander toe laten en dan heb ik voor verschillende dingen in verschillende chains iets vermeld staan wat het niet overzichterlijk maakt.

Plus ik ben eigenlijk van mening dat een IP adres aan een interface gekoppeld is als zodanig beschouwd moet worden dat deze op het interface zit en niet zo zeer als iets lokaals beschouwd moet worden.