Permitindo o encaminhamento para todos e bloqueando um conjunto de ips:
iptables -P FORWARD ACCEPT
iptables -A FORWARD -m set --match-set denied_ips src,dst -j REJECT
Mas negar o encaminhamento para todos e permitir um conjunto de ips não funciona:
iptables -P FORWARD DROP
iptables -A FORWARD -m set --match-set allowed_ips src,dst -j ACCEPT
O que há com isso?
edit: Para esclarecimentos, aqui estão minhas regras. Eu quero que FORWARD derrube tudo, não em allowed_ips .
#iptables -S
-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
-A FORWARD -m set --match-set allowed_ips src,dst -j ACCEPT
Eu encontrei a resposta: Acontece que
iptables -A FORWARD -m set --match-set allowed_ips src,dst -j ACCEPT
corresponde apenas quando ambos src AND dst em allowed_ips . Eu erroneamente pensei que iria corresponder quando src ou dst estão em allowed_ips .
Tags networking iptables nat linux