дык а если у меня уже были правила в инпуте, то по его схеме если они не с тех сетей, то пройдут дальше, даже не проходя правила инпут вниз
Код:
3k304-02:~# iptables -L KRFILTER -nv --line-number
2251 0 0 KRFILTERED all -- * * 222.248.0.0/14 0.0.0.0/0
2252 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
вот как видно 2252 правило пропускает все пакеты на все порты, то есть если не с тех сетей, то можно ломиться куда хочешь, в обход правил INPUT
Я думаю надо заменить на return, чтобы оно вернулось в INPUT?
Добавлено через 5 минут
если заменить
Код:
iptables -A KRFILTER -j ACCEPT
на
Код:
iptables -A KRFILTER -j RETURN
а
Код:
iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER
на
Код:
iptables -I INPUT -p tcp -m state --state NEW -j KRFILTER
тогда можно