Всъщност ако беше физически проблем щяха да са Errors, с много голяма вероятност предполагам че е неправилна/лоша L2/L3 конфигурация на мрежата от доставчика ти. В общия случай интерфейсът дропи пакети, които са читави, но не са за него. Примери: няколко broadcast domains в/у една медия, мрежови протоколи които не са инсталирани при теб IPv6, NetBEUI, IPX/SPX, dot1Q тагнати пакети и т.н. Другият вариант е някаква D(D)os атака, но ... тогава щеше да имаш по 2К дроп/секунда
Ако можеш послушай на интерфейса с tcpdump, това ще ти подскаже какъв е проблема, а и ако можеш да видиш in/out ли са, от къде на къде ги дропи.
Като цяло 2000 дропнати пакета за няколко дни не са голям проблем

Сменяй ISP. Не се занимавай с измикярщини.

Е това е кардинално решение на проблема!!!
Напомня ми за оня хубав виц:
Цигането се насрало и Асан вика на Айшето - Ше го къпим ли или ше праим ново???

При положение че БСП са на власт, ще ни работят за без пари, а ние ще си клатим краката.

Вече живеем в Куба??? Un ron blanco por favor 

Такааа, ето доста изход + конфигурации щото ми писна от въпроси "това разбираш ли?" "онова разбираш ли?" "отговори ми на въпроса..."

1. рутер ОС Линукс Ubuntu 13.04
root@ubuntu:~# ifconfig
br1       Link encap:Ethernet  HWaddr 00:23:54:9c:69:89 
          inet addr:10.240.12.6  Bcast:0.0.0.0  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4074 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1110 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:218930 (218.9 KB)  TX bytes:93157 (93.1 KB)

eth6      Link encap:Ethernet  HWaddr 00:23:54:9c:69:89 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5626 errors:0 dropped:31 overruns:0 frame:0
          TX packets:2461 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:986405 (986.4 KB)  TX bytes:365796 (365.7 KB)

eth6.1010 Link encap:Ethernet  HWaddr 00:23:54:9c:69:89 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1345 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1636 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:390407 (390.4 KB)  TX bytes:150117 (150.1 KB)

eth6.1030 Link encap:Ethernet  HWaddr 00:23:54:9c:69:89 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3471 errors:0 dropped:0 overruns:0 frame:0
          TX packets:409 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:200086 (200.0 KB)  TX bytes:111951 (111.9 KB)

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:1194 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1194 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:117512 (117.5 KB)  TX bytes:117512 (117.5 KB)

root@ubuntu:~# ebtables -L
Bridge table: filter

Bridge chain: INPUT, entries: 0, policy: ACCEPT

Bridge chain: FORWARD, entries: 0, policy: DROP

Bridge chain: OUTPUT, entries: 0, policy: ACCEPT
root@ubuntu:~# arping -I br1 -b 10.240.12.2
ARPING 10.240.12.2 from 10.240.12.6 br1
Unicast reply from 10.240.12.2 [18:03:73:6F:4B:F1]  0.769ms
Unicast reply from 10.240.12.2 [00:E0:18:55:4B:FC]  1.785ms
Unicast reply from 10.240.12.2 [00:E0:18:55:4B:FC]  0.671ms
Unicast reply from 10.240.12.2 [18:03:73:6F:4B:F1]  0.704ms
Unicast reply from 10.240.12.2 [18:03:73:6F:4B:F1]  0.756ms
Unicast reply from 10.240.12.2 [00:E0:18:55:4B:FC]  1.733ms
Unicast reply from 10.240.12.2 [18:03:73:6F:4B:F1]  0.737ms
Unicast reply from 10.240.12.2 [00:E0:18:55:4B:FC]  1.720ms
Unicast reply from 10.240.12.2 [00:E0:18:55:4B:FC]  0.657ms
Unicast reply from 10.240.12.2 [18:03:73:6F:4B:F1]  0.740ms
Unicast reply from 10.240.12.2 [18:03:73:6F:4B:F1]  0.749ms
Unicast reply from 10.240.12.2 [00:E0:18:55:4B:FC]  1.730ms
Unicast reply from 10.240.12.2 [00:E0:18:55:4B:FC]  0.666ms
Unicast reply from 10.240.12.2 [18:03:73:6F:4B:F1]  0.697ms
Unicast reply from 10.240.12.2 [00:E0:18:55:4B:FC]  0.668ms
Unicast reply from 10.240.12.2 [18:03:73:6F:4B:F1]  0.749ms
^CSent 8 probes (8 broadcast(s))
Received 16 response(s)
root@ubuntu:~# ssh 10.240.12.2
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
e8:73:5a:3e:36:db:a2:67:0e:06:5c:c2:4b:6c:a1:9c.
Please contact your system administrator.
Add correct host key in /root/.ssh/known_hosts to get rid of this message.
Offending RSA key in /root/.ssh/known_hosts:11
  remove with: ssh-keygen -f "/root/.ssh/known_hosts" -R 10.240.12.2
RSA host key for 10.240.12.2 has changed and you have requested strict checking.
Host key verification failed.
root@ubuntu:~#

Двата хоста с IP 10.240.12.2 са Убунту и Дебиан съответно във VLAN1010 u VLAN1030. Горните резултати са постигнати единствено и само с програмно осигуряване инсталирано от официалните хранилища на Дебиан и Убунту. Всичко това колега показва че онова което сте написали работи, само че е ГРОЗНО и не решава проблема с краденето на Интернет, а и както е видно и много други проблеми създава.

ПП Не ми пишете на ЛС къде греша

... второ не ми отговори на въпроса, и трето какво разбираш под "сходни"?

Когато срежеш на две една тръба пълна с боклуци ...  имаш вече ДВЕ тръби пълни с боклуци.

Айде стига толкова вече, че ми се спи.

MOD: Момчета, няма ли да е по-добре да обсъдите каквото имате на лично, вместо да спамите темата. Коментара се отнася и за двама ви. Защо трябва да се закачате публично, след като за всички ще е по-добре да се разберете с ЛС и темата да съдържа само полезна информация. Толкова ли е трудно? Благодаря за разбирането.

МОД веднага те послушвам и пълня темата със знания. Въпрос към знаещите: Какво ще стане ако взема аз като клиент на VLAN 11 да си сложа съществуващо IP от VLAN 10 и напукам една злобна ARP с destination FF:FF:FF:FF:FF:FF

Легнах си вече (човече спи)

Айде сега ако можеш обясни как по-точно ще мине Layer2 трафика през въпросния bridge със зададена DROP политика?

Още по-чудесно: сходни arp-ове, сходни broadcast-и само че този път в два сегмента. Проблеми ^2

Перфектно !!! и "... Всичко работи, но има една голяма LAN мрежа, в която циркулира всичко - Broadcast, arp заявки от всеки до всеки, всичко каквото се сетите и всеки прави каквото си иска. Включително ако на някой му изтече интернета сканира за IP и MAC, сменя си IP-то и MAC-а и продължава да има интернет..."  Опааа, забравих, ние ще филтрираме по MAC, чудесно докато сме аз, Грую и брат му. А като станат 500 клиента
Айде по-сериозно, а?

За какво са ви VLAN-и ако няма да се съобразявате с тях??? Има си Default Vlan 1.
Постановката на Линукса също не ви е правилна.
За бриджа пък въобще да не говорим, не знаете за какво е, но го ползвате ...
Това което всъщност ви трябва е inter-vlan routing (router on a stick).

Каква e разликата м/у 192.168.x.y и 92.68.x.y освен че единия адрес подлежи на специалното внимание на RFC1918 ?

Само да попитам някаква договорка ли има, да идват явно доста "млади" потребители да плесват няколко купешки думички във форума и след това "да очакват отговори"
Младежи идвате надрасквате 3 термина в контекст, който показва че хал хабер си нямате от материята и след това " ... очаквам вашите отговори". На чист български: нерде freeradius, нерде маршрутизиране? И за да не кажете че не отговарям на въпроси, ето и моя отговор по темата "Маршрутизация на публични IP адреси " Публичните IP адреси се маршрутизират точно по същия начин както и частните - с помоща на рутинг таблици.

Да допълня: NAT, SNAT, DNAT, Portmap etc. != Routing

Искрено и лично
Ако не знаеш разликата м/у маршрутизатор и комутатор, остани си на ниво CS 1.6 !

Нафтата е за отопление, бензинът e за каране.

signed: Petrolhead 

По принцип си прав че "iptables .... -s $PRIVATE_NET ..." е изходящия трафик (при няколко условия) а "iptables .... -d $PRIVATE_NET ..." e входящия трафик, но ти защо реши че WAN=eth0 a LAN=eth1 ?

Ще има ли ефект от цялата работа, при положение, че пакетът вече е преминал през WAN и се е консумирал реален трафик, а в последствие (на eth1) се е образувала опашка, която изкуствено се забавя да достигне клиента.

Трафик шейпъра в Линукс "tc" работи на база egress ( man tc ... Shaping occurs on egress...) т.е. на български, работи в/у изходящ трафик, няма значение накъде ще го праща: прави опашка в/у интерфейса от където ще замине трафика и така реално го контролира.

А за индексите - и да и не, зависи от конкретния софтуер

Колега, говоря за принципната постановка, че индексите се използват за оптимизиране работата на БД.
Иначе и двамата, а най-веротно и други, знаем че една по-засукана WHERE клауза може да обезмисли индексите. 

Судо, това което пишеш е точно така, само не разбрах, къде видя лично отношение?

Тебе редник те обичам  ... че иначе модератора ...