Как в iptables указать что SRC и DST должны быть из одной сети?

http://www.cyberciti.biz/tips/linux-iptables-how-to-specify-a-range-of-ip-add...

Не совсем понял как это использовать, я ведь не знаю СЕТЬ, следовательно не могу указать range.

Мне важно просто, чтобы пакеты получателя, были из той-же /24 сети, что и пакеты отправителя, причем сама сеть может быть любой /24 из 0.0.0.0

P.S.: схавало такой синтаксис -s 0/24 -d 0/24, значит ли это то что я имею ввиду? просто проверить сложно, такое явление довольно редко - когда сеть не совпадает.

Если SRC и DST из одной сети то это INPUT или OUTPUT цепочки, если из разных то FORWARD

Если SRC и DST из одной сети то это INPUT или OUTPUT цепочки, если из разных то FORWARD

Взял сейчас из лога INPUT цепочки

SRC=172.18.0.1 DST=255.255.255.255
SRC=192.168.1.1 DST=224.0.0.1 
SRC=192.168.1.104 DST=224.0.0.251

Ну так это и есть одна сеть, только малтикаст и бродкаст пакеты

SRC=172.18.0.1 DST=172.18.1.4

А откуда вы знаете что эти пакеты из разной сети ?

Есть ли в iptables возможность указать что правило применяется только в том случае если SRC и DST принадлежит одной сети /24

Чего-то вы странного хотите. Я вот сходу придумать не могу зачем это могло бы понадобиться. Может расширите задачу подробностями?

есть подозрение, что это можно сделать при помощи bpf

проверку "(src_ip ^ dst_ip) & 0xffffff00" = 0 не сложно реализовать.