исключить несколько интерфейсов в iptables

Если у тебя 6 интерфейсов (eth0-eth5) - то особо не выиграешь по количеству правил. А если значительно больше, то можно вот как-то так:
Для eth0 и eth3 ничего не делаем, для остальных eth* - маркируем

iptables -t mangle -N MY_MARK_SET
iptables -t mangle -N MY_MARK_PASS
iptables -t mangle -A PREROUTING -i eth0 -j MY_MARK_PASS
iptables -t mangle -A PREROUTING -i eth3 -j MY_MARK_PASS
iptables -t mangle -A PREROUTING -i eth+ -j MY_MARK_SET
iptables -t mangle -A MY_MARK_SET -p tcp -m tcp --dport 12345 -j MARK --set-xmark 0x10/0xffffffff

Вопрос - как заменить эти 4 записи на одну?

никак. можно лишь укоротить немного с помощью цепочек:

-A mark_pkt -p tcp -m tcp --dport 12345 -j MARK --set-xmark 0x10/0xffffffff
-A mark_pkt -j ACCEPT

-A PREROUTING -i eth1 -j mark_pkt
-A PREROUTING -i eth2 -j mark_pkt
-A PREROUTING -i eth4 -j mark_pkt
-A PREROUTING -i eth5 -j mark_pkt

Вроде как-то можно использовать and в правилах, но синтаксис не очевиден. Примеры пытался погуглить - не нашел.

только AND и можно, т.е. target выполняется когда все match-и соблюдены. вы наверное имели ввиду OR то увы, такого в iptables нет, и не нужно - оно только усложнит все

Если у тебя 6 интерфейсов (eth0-eth5) - то особо не выиграешь по количеству правил. А если значительно больше

Ну я написал пример, в реальности у меня всё гораздо хуже :-) Хуже всего, что интерфейсы могут иногда добавляться/меняться и каждый раз переписывать правила не хочется.

А «выделенные» интерфейсы (с которых не надо маркировать) как раз заранее известны.

т.е. я правильно понимаю, что допустима запись вида

-i eth*

у меня как раз понимания синтаксиса всего этого не хватает и не знаю, где почитать, чтобы было внятно описано.

только and и можно, т.е. target выполняется когда все match-и соблюдены

Как работает - я понимаю. Но правило написать не могу (как та собака).

А какой-то такой вариант допустим? С использованием and в правиле:

-A PREROUTING ! -i eth0 and ! eth3 -p tcp -m tcp --dport 12345 -j MARK --set-xmark 0x10/0xffffffff

это бы сразу закрыло вопрос. но пройдет ли такая запись или вдруг все испортит - не понимаю, а попробовать на макете прям сейчас не могу.

Конечно

-A PREROUTING ! -i eth0 and ! -i eth3 -p tcp -m tcp --dport 12345 -j MARK --set-xmark 0x10/0xffffffff

сначала -i пропустил

Ну я написал пример, в реальности у меня всё гораздо хуже :-) Хуже всего, что интерфейсы могут иногда добавляться/меняться и каждый раз переписывать правила не хочется.

А «выделенные» интерфейсы (с которых не надо маркировать) как раз заранее известны.

тогда все намного проще. я бы сделал как-то так:

-A mark_pkt -i eth11 -j RETURN
-A mark_pkt -i eth7 -j RETURN
-A mark_pkt -p tcp -m tcp --dport 12345 -j MARK --set-xmark 0x10/0xffffffff

-A PREROUTING -j mark_pkt

где eth11 и eth7 -иэто интерфейсы которые не нужно обрабатывать.

-i eth*

и она означает «все eth»

верно.

у меня как раз понимания синтаксиса всего этого не хватает и не знаю, где почитать, чтобы было внятно описано.

честно говоря не знаю. раньше на википедии была хорошая статейка, но её зачем-то обрезали. а так, в принципе, и мана iptables достаточно :)

А какой-то такой вариант допустим? С использованием and в правиле:

-A PREROUTING ! -i eth0 and ! eth3 -p tcp -m tcp --dport 12345 -j MARK --set-xmark 0x10/0xffffffff

к сожалению, нельзя больше 1 раза использовать -i

Спасибо! Все гениальное просто. И красиво. Так получается даже нагляднее - если потребуется что-то менять в списке «исключений». А я тупил, поскольку зациклился на идее впихнуть все в одну запись.

а так, в принципе, и мана iptables достаточно

в принципе - да... и первым делом его лезу читать, но вот тонкости типа

к сожалению, нельзя больше 1 раза использовать -i

познаются только на практике.

Проще пареной репы. В удаве именуешь интерфейсы, с которых надо маркировать, как-нибудь вроде «eimX», которые не надо - «einX». Дальше, как очевидно, в iptables пишешь одну строчку:

iptables -t mangle -A PREROUTING -i eim* -j MY_MARK_PASS

- встроенные в материнку и 2 левых (или верхних) - etiX, остальные - etoX;

- все реалтеки - rtlX, броадкомы - bcmX;

- и так далее...

я бы посмотрел на man ipset типа hash:net,iface

в набор добавлял с сетью 0.0.0.0/0

ipset create XX hash:net,iface
ipset -A XX 0.0.0.0/0,eth0

iptables ... -m set --match-set XX src,src ...

В удаве именуешь интерфейсы, с которых надо маркировать, как-нибудь вроде «eimX», которые не надо - «einX».

не здорово. Если один интерфейс eth0, другой eth5.10, третий tunnel_tuda, четвертый a_eto_vasya. Переименовать их без перезапуска сервиса, как минимум, не выйдет. А это обычно нежелательно - сервис перезапускать.

Плюсую. И добавлю, что осмысленные названия интефрейсов как минимум удобно, в противном случае надо или таблицу соответствий гдето завести или каждый раз смотреть в конфигах/скриптах того что поднимает интерфейс только для того что бы узнать его название.