(Centos 5.5) para bloquear xxx.xxx.xxx.xxx:
# iptables -A OUTPUT -j DROP -d xxx.xxx.xxx.xxx
verifique então por:
# iptables -L OUTPUT --line-numbers
Chain OUTPUT (policy DROP)
num target prot opt source destination
1 ACCEPT all -- anywhere anywhere
2 ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
3 DROP all -- anywhere xxx.xxx.xxx.xxx
Não funciona; o que eu fiz de errado?
Você tem o ACCEPT de qualquer lugar para qualquer lugar primeiro na tabela, de modo que as correspondências e sua regra DROP nunca sejam atingidas.
Use -I em vez de -A neste caso para inserir a regra na parte superior da tabela.
Observe que, ao escrever scripts, é geralmente preferível usar -A , pois as regras são adicionadas na mesma ordem em que estão listadas no script.