Список интерфейсов в iptables

Нет.

Есть ли возможность использовать в iptables, что-нибудь похожее? Если да - то как?

Элементарно, Ватсон. Создавать правила файрвола из скрипта.

И делать что угодно и как угодно, взяв за образец микротик или другой длинк. Bash, perl, python по вкусу

for interface in $if_list ; do
  ...
done

Я хочу отбрасывать пакеты в таблице raw в цепочке PREROUTIG, ещё до того как они попадут на обработку

Насколько я понимаю, не до того, как попадут на обработку, а до того, как принято решение о маршрутизации. Отбрасывание это всё же задача для filter, а не raw, если только речь не идёт о защите багов. ИМХО

С хотелкой понятно - из коробки не взлетит. Буду танцевать с цепочками. По поводу обработки - да, имелось ввиду именно принятие решения о маршрутизации. А чем плохо отбрасывание в таблице raw, а не в filter? С моей точки зрения - не просчитываем маршрут, значит не расходуем время процессора, сразу смотрим на адреса источника и/или назначения -> DROP, или ACCEPT в зависимости от необходимости. Когда мы переписали на том же микротике все правила из таблицы фильтра и перенесли их в таблицу raw, у нас загрузка процессора упала с 20% до 3-4%. Какой смысл просчитывать маршрут пакета, а потом его всё равно убивать? Единственное что мы теряем - возможность использовать исходящий интерфейс, т.к. в цепочке PREROUTING он ещё не известен. Для простых правил с портами, адресами, по моему, самое то.

Понятно. Спасибо

т.к. в цепочке PREROUTING он ещё не известен. Для простых правил с портами, адресами, по моему, самое то.

В чём суть тогда темы?

Суть темы изложена в первом сообщении - мне нужно как-то использовать список интефейсов. Что бы не создавать много однотипных правил, а использовать одно - с этим самым списком. Очевидно, что в качестве списка входящих интерфейсов.

Ну есть ещё такая тема - создаёшь новую таблицу, а в PREROUTING проверяешь интерфейс и перенаправляешь в эту таблицу

# отдельная таблица для "списка интерфейсов"
iptables -t raw -N megaxakep
# тут добавление правил

# переход в таблицу по списку интерфейсов
iptables -t raw -A PREROUTING -i eth0 -j megaxakep
iptables -t raw -A PREROUTING -i eth2 -j megaxakep

Только это не таблица, а цепочка, и именно так сейчас и делаю. В любом случае спасибо.

Если названия интерфейсов однотипные, то можно использовать маску. Типа

-i eth+

Про это я тоже в курсе. К сожалению, названия интерфейсов слишком однотипные - различаются только на один символ в конце. В таком случае в список попадут все интерфейсы, а мне надо только часть. Есть идея попробовать тупо задать имена интерфейсам, по некой схеме. Тогда можно будет использовать маску. Но никогда этого не делал, и не знаком с побочными эффектами. Пока остановился на создании цепочек.

К сожалению, названия интерфейсов слишком однотипные - различаются только на один символ в конце. В таком случае в список попадут все интерфейсы, а мне надо только часть.

У вас их там что тысяча? Сильно сомневаюсь. 4-18 (предполагаемо по количеству интерфейсов) правил большой погоды не сделают.

я голосую за маркировку пакетов.
один раз определить правила — если из интерфейса N+1 то маркер M, будет почти тоже самое что создать список этих интерфейсов под одним именем.

Мимо. ТС как раз conntrack не хочет использовать.

Интерфейсов не тысяча. Необходимое кол-во правил, что-бы прописать для каждого интерфейса переход в нужную цепочку, погоды не сделает. Всё так. Просто вопрос был не в этом. Вопрос был об использовании списка интерфейсов, как это возможно сделать в микротиках. Это просто удобная фича, и я просто хотел бы использовать такую же фичу в iptables, о чём и спросил. Ответ на свой вопрос я получил. Остальное вода.

Используйте ferm, или сразу nftables.