"ami alapján meglehet tanulni a tűzfalazást"
Az első lépés legyen az, hogy össze tudd szedni, milyen forgalomtípusok fordulnak illetve fordulhatnak elő a hálózatodban. Ez igényli a telepített rendszerek által generált forgalmak ismeretét. Ezután meghatározod, hogy ezek közül melyek a szabályozandók, tehát milyen forgalmat akarsz engedélyezni illetve tiltani, milyen módon és milyen okból. Ennek megfelelően fel tudod írni a szabályokat a logikai sorrend betartása mellett. Végül ezeket a szabályokat a megfelelő eszköznek (Linux rendszerek alatt ez elsősorban az iptables) megfelelő formába öntöd.
És most a konkrét kérdéseidre:
0.) Ahogy 1soproni is javasolta, alapesetben mindent tiltunk, valamint stateful tűzfalat próbálunk írni, és az egyszerűség kedvéért ezt most egyben kezeljük:
iptables -P FORWARD DROP iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT1.) "A különböző vlanok között ne tudjanak kommunikálni, kivéve a 100-assal (Tehát 10-20, 20-30, 10-30 vlan ne tudja egymást elérni, megelőzve ezzel a Call of Duty lan partykat :) )"
iptables -A FORWARD -i eth0.10 -o eth0.100 -s 192.168.10.0/24 -d 192.168.100.0/24 -j ACCEPT iptables -A FORWARD -i eth0.20 -o eth0.100 -s 192.168.20.0/24 -d 192.168.100.0/24 -j ACCEPT iptables -A FORWARD -i eth0.30 -o eth0.100 -s 192.168.30.0/24 -d 192.168.100.0/24 -j ACCEPT(Ezt a jelenlegi információk szerint meg lehetne oldani egyetlen sorral is, de így szebb, tisztább.)
2.) "Az internetet a diákok ne tudják elérni (ip alapon) csak transzparens vagy normál proxyval kivédve ezzel annak kikerülését. (Squid már működik)"
A default policy DROP, így ha explicite nem engeded ki, akkor nem fog kijutni.
3.) "NAT (Túlterheléses)"
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.100.0/24 -j MASQUERADE4.) "A szerverek normálisan tudjanak kommunikálni a külvilággal."
iptables -A FORWARD -i eth0.100 -o eth1 -s 192.168.100.0/24 -j ACCEPTA natolást a 3.) pontban elintéztük.
5.) "Az internet felől ne lehessen elérni a belső hálót"
Lásd a 2. ponthoz írt megjegyzést.
Ne csak bemásold, hanem értsd is meg. Ebben segítség a man iptables, illetve a netfilter honlapján található leírások, beleértve a HOWTO, FAQ és Tutorial részeket is. A fenti sorok csak a vázát adják a tűzfaladnak, fontos hogy az igényeknek megfelelően bővítsd. Amiért nem lehet teljes a fenti szabályrendszer az az, hogy a VLAN ID-kon kívül nem ismerjük az IP subneteket, a szerverek által nyújtott szolgáltatásokat stb.