@alter_Bekannter: Ok, wir haben da anscheinend echt ordentlich aneinander vorbeigeredet, lag aber daran, dass du reale Probleme mit theoretischen Überlegungen vermischt hast.
Normalerweise tu ich mir schwer, sowas ohne Configs zu beantworten. Hier auch. Was ich erwartet hätte, wäre eine ordentliche Beschreibung, und zwar auch des Ziels, des vermuteten Angriffsszenarios (weil du willst dich ja gegen was schützen, was genau hast du aber sehr schwammig gehalten), und dann davon getrennt eine Problemstellung, die du tatsächlich hast.
Also, du hast, soweit ich verstanden habe, zwei Netze. Vermute ich. Zwei NetzwerkADAPTER bedeutet nicht zwangsläufig zwei Netze. Da du nie konkret geworden bist, hab ich jetzt zig Möglichkeiten, woran es liegen könnte, keine davon hat was mit Routingtabellen oder ARP-Paketen zu tun. Du hast auch nie gesagt, wer in dem Netz DHCP-Server ist. Also bevor ich jetzt weiter spekuliere, zeig ich dir einfach, wie man sowas normalerweise macht:
1. Der korrekte, sinnvolle Aufbau
========================
Internet (Militarized Zone; MZ) <-> Router <-> MZ <->eth0 - HP-Server - eth1 <-> Internes Netz mit allen Geräten; Demilitarized Zone (DMZ)
eth0 (192.168.0.100) - Netz: 192.168.0.0/24 (Subnetzmaske: 255.255.255.0)
eth1 (192.168.1.1) - Netz: 192.168.1.0/24 (Subnetzmaske: 255.255.255.0)
Router: möglicherweise Durchleitung bestimmter Ports zum Server, kein Vertrauen ins Endgerät (Router sind sicherheitstechnisch oft scheiße)
HP-Server: Samba (bind auf eth1), NAT von eth1 nach eth0, DHCP-Server auf beide Adapter, DNS-Server auf eth1, SSH auf beiden Adaptern (sicherheitshalber), evtl. weitere Dienste an eth1
Für DHCP/DNS empfehle ich dnsmasq, das kann beides und ist schick konfigurierbar.
Netz auf eth0: ILLEGAL; von DHCP-Server zugewiesen, ansonsten schwarzes Loch (Ausnahme: Router selbst), Kompletter Block durch Firewall mit Mail-Alerting (Honeypot für Router-Einbrüche)
Alternativ kannst du da auch dein China-Shit reinpacken, da SMB aber ein recht komplexes und fehleranfälliges Protokoll ist, empfehle ich es ausdrücklich nicht.
Segmentierung des Netzes auf eth1:
192.168.1.0/29 (0-7): Administrative Hosts (WLAN-Hotspot, Server selbst, evtl. NAS, China-Box etc.); MAC-Filterung, scharfe Firewall, harte DHCP-Zuordnungen, extrem eingeschränkter Internetzugang (wenn überhaupt) Erreichbarkeit der notwendigsten Dienste.
192.168.1.8/29 (8-15): Administratoren, d. h. Geräte mit weitreichender Befugnis; MAC-Filterung, laxe Firewall am Server, harte DHCP-Zuordnungen, voller Internetzugang, Erreichbarkeit vieler Dienste.
192.168.1.16/28 (16-31): Weitere persönliche Geräte der Hausbesitzer, Handys etc.; MAC-Filterung, normale Firewall, harte DHCP-Zuordnungen, voller Internetzugang, Erreichbarkeit der gewünschten Dienste.
192.168.1.32/27 (32-63): Freunde, größerer Familienkreis mit Zugang zum WLAN oder zum Netz...; keine MAC-Filterung, normale Firewall, harte DHCP-Zuordnungen, voller Internetzugang, Erreichbarkeit der gewünschten Dienste.
192.168.1.64/27 (64-91): Bekannte, die nur hin und wieder mal WLAN wollen; keine MAC-Filterung, freie DHCP-Zuordnungen (mit Mail-Alerting; Honeypot für WLAN-Einbruch), beschränkter Internetzugang, Erreichbarkeit der notwendigen Dienste.
192.168.1.92/27 und 192.168.1.128/25 (92-255): ILLEGAL; von DHCP-Server nicht zugewiesen, Kompletter Block durch Firewall mit Mail-Alerting (Honeypot für IP-Selbstvergeber), kein Internet, keine Dienste - schwarzes Loch.
Wo scharfe MAC-Filterung angegeben ist, wird die Firewall IP/MAC-Übereinstimmungen abprüfen und sofort ne Mail verschicken, wenn eine IP mit falscher MAC daherkommt oder umgekehrt. Beim Netz der Bekannten hast du gleich nen Honeypot für Geräte, die das WLAN nutzen, obwohl du nichts davon weißt. Du bekommst ne Mail aufs Handy, wenn du nem Bekannten das WLAN-Passwort gibst, die erwartest du aber. Bekommst du eine, ohne selbst einen Zugang vergeben zu haben, kannst du nachsehen, wer da gerade was probiert, sei es ein Amok laufendes Gerät oder ein Angreifer (oder ein Bekannter, der das Kennwort hat und grad zufällig am Haus vorbei geht - Fehlalarme sind also eher normal). Das letzte Segment überspannt den kompletten Bereich um den Standard-DHCP-Bereich der meisten Router. Wenn ein angreifendes Gerät sich eine harte IP zuweisen will (was auch immer das bringen sollte), wird es vermutlich in diesem Bereich bleiben, wahrscheinlich sogar die 100 wählen (weil die der Startpunkt des Standard-DHCP-Bereichs ist).
Die Firewall wird so eingerichtet, dass du jedes der Netzsegmente einzeln konfigurieren kannst, nachdem die MAC/IP überprüft wurde. So kannst du gezielt einzelnen Hosts zum Beispiel Samba-Zugriff geben, oder Internet sperren etc. Auf allen legalen Bereichen muss aber UDP-67 in und UDP-68 out offen sein (DHCP). ARP und Routing kann dir gleich sein - solange eth1 auf eth0 durchleiten darf (mit NAT; das kann man in iptables einrichten) und das Gateway nur für eth0 konfiguriert ist (nämlich der Router), läuft alles. Hast du trotzdem Angst vor ARP-Poisoning, kannst du dir arpwatch installieren, und auf eth1 lauschen lassen. Der kann auch alerten, wenn was komisch wird.
2. Dein Setup:
=================
Internet (MZ) <-> Router <-> DMZ <-> eth0 - HP-Server - eth1 <-> MZ
Problem dabei: Du musst zwei Geräten vertrauen, um eine DMZ zu bekommen (Router und HP-Server)
eth0 (192.168.0.100) - Netz: 192.168.0.0/24 (Subnetzmaske: 255.255.255.0)
eth1 (192.168.1.1) - Netz: 192.168.1.0/24 (Subnetzmaske: 255.255.255.0)
Router: möglicherweise Durchleitung bestimmter Ports zum Server, volles Vertrauen ins Endgerät (sic!), WLAN, DHCP, DNS
HP-Server: Samba (bind auf beide Adapter), DHCP-Server auf eth1, DNS-Server auf eth1, SSH auf eth0, evtl. weitere Dienste an eth0
Übrigens: Wenn Samba auf beide Adapter binded, wird es dir auch auf die IP-Adresse des anderen Adapters antworten (wenn du iptables nicht scharf konfiguriert hast), weil er ja merkt, dass er gemeint ist. Die Standardeinstellung von Samba ist ein Bind auf alle Adapter.
Segmentierung kannst du machen, bringt aber wenig, zumal der Router das scheiße konfigurierbar macht, sofern du ihm DHCP nicht nimmst und selber via dnsmasq machst. Aber: Du kannst dein China-Gerät an eth1 sauber abschotten, einfach ein REJECT für alle Verbindungen, die nicht UDP 53 (DNS), UDP 67/68 (DHCP) oder TCP 445 auf 192.168.1.1 sind. Von woher die dann genau kommen, kann dir eigentlich scheißegal sein. So schottet man Angreifer, wenn man das unbedingt möchte.
So, ich hoffe, ich konnte dir etwas helfen. Oder anderen.
Und nochmal:
In keinem dieser beiden Setups brauchst du Routingregeln.