Настройка Антиспуфингa На Vipnet Coordinator Linux

[BVE]

Есть координатор на Linux с включенными тремя сетевыми интерфейсами:

eth1 и eth2 - внутренние интерфейсы двух сегментов ЛВС 10.10.10.0/24 и 11.11.11.0/24 соответственно. eth3 - внешний интерфейс, подключенный к Интернет.

Поднят PPP Dial-In сервер, чтобы можно было подключиться по обычному 56k модему.

В файле /etc/ppp/options указано:

ms-dns 10.10.10.1

proxyarp

10.10.10.10:10.10.10.11

При входящем звонке поднимается интерфейс ppp0 с адресом сервера 10.10.10.10, а клиенту выдается P-t-P:10.10.10.11.

При отключенном антиспуфинге в ViPNet всё работает замечательно.

Как только включаю antispoof=yes в секции [antispoof] файла firewall.conf, пакеты между интерфейсом ppp0 и интерфейсом eth2 блокируются:

14.02.2012 11:45:53|14.02.2012 11:45:58|ppp0| 800h|>D----|icmp| 10.10.10.11| 0| 10.10.10.1| 0| 148| 2|00000000|053B000B|33 - IP packet is dropped by antispoofing rule

В файле firewall.conf прописано:

[antispoof]

antispoof=yes

eth1=internal,10.10.10.0/25

eth2=internal,11.11.11.0/24

eth3=external,anypublic

ppp0=internal,10.10.10.10-10.10.10.11

Понятно, что на интерфейсе ppp0 адреса из диапазона адресов интерфейса eth2. Именно так и должно быть, чтобы подключившийся через модем оказывался как будто в локальной сети.

Но это противоречит правилам антиспуфинга.

Не хотелось бы совсем отключать антиспуфинг и прописывать правила в firewall.conf руками (если это вообще получится). Насколько я понял, антиспуфинг не может быть включен для одного интерфейса и выключен для другого.

Хотелось бы найти элегантное решение этой задачи (без переноса сервиса PPP на другую машину).