Вопросик по iptables

а ты уверен что указанных в правиле MAC именно тот который прописан на сетевухе посылающей пакеты для форварда?

А маки разве не ТОЛЬКО в цепочки связанные с INPUT ставить можно ???

Для Matrix: MAC-адреса списывал прямо с карточки, так что тут сомнений быть не может. Для Anonymous: Выдержка из iptables-tutorial 1.1.9: MAC адрес сетевого узла, передавшего пакет. MAC адрес должен указываться в форме XX:XX:XX:XX:XX:XX. Как и ранее, символ ! используется для инверсии критерия, например --mac-source ! 00:00:00:00:00:01, что означает - пакет с любого узла, кроме узла, который имеет MAC адрес 00:00:00:00:00:01 Этот критерий имеет смысл только в цепочках PREROUTING, FORWARD и INPUT и нигде более.

может, стОит попробовать опустить параметр -s (source IP)

Дело в том, что хотелось бы, чтобы авторизация проходила через пару: IP-адрес - MAC-адрес, а то что-нибудь одно и подделать можно...

> ... -i $INET_IFACE ...
Т.е. пакеты приходят из internet ???
Если так, то MAC-критерий работать не будет, т.к. MAC-адрес - это аппаратный адрес отправляющей папкет карточки, а таких карточек по пути пакета будет столько, сколько пунктов напишет traceroute данного маршрута :-)
Т.е. при проходе через любой маршрутизатор MAC-адрес отправителя меняется на MAC-адрес отправляющей карточки этого маршрутизатора.

P.S. А вот IP-адрес у пакета остается постоянным :-)) (если конечно никто насильно не подправит).

> причем пакеты приходят, но не форвардятся
А форвардинг вкючен ? Маршрутизация настроена правильно ?