что не правильно делаю с iptables?

А почему у тебя --mac-source XX:XX:XX. Вроде должно быть XX:XX:XX:XX:XX:XX? А так вообще я эти глюки на других цепочках замечал. Поэкспериментируй с --dport. Убери во вложенной цепочке и посмотри чего получится.

да ХХ ХХ ХХ я для сокращения написал.

я пробовал просто iptables -A mac_check -m --mac source xx:xx:xx -j ACCEPT

все равно не работает. Причем не работает не это правило, а не работает

iptables -t nat -A PREROUTING --dport 100 -j mack_check

потому что если первое правило я вызываю из INPUT, то все работает, но мне нужно именно из PREROUTING

Попробуй iptables -A mac_check -m mac --mac-source xx:xx:xx -j ACCEPT

Можете написать в каком порядке какие команды вы запускали (без сокращений), и какие потом сообщения выдавались ?
Новую цепочку mac_check вы создавали в таблице nat (-t nat) ?

Проблема

вот так работает iptables -A mac_check -m mac --mac-source xx:xx:xx -j ACCEPT

вот так тоже работает iptables -t nat -A mac_PREROUTING -m mac --mac-source xx:xx:xx -j ACCEPT

а вот если iptables -t nat -A PREROUTING -j mac_check

Couldn't load target 'check':/lib/iptables/libipt_check.so: cannot open shered object file

А создаешь ты цепочку mac_check какой строчкой?

iptables -N mack_check правда в скрипте и используя переменную т.е. iptables=/sbin/iptables $iptables -N mack_check

цепочка создается и работает, т.к. я ее вызываю из INPUT и все нормально, а вот из PREROUTING не работает

Блин, ну написал же: цепочку надо создавать в соответствующей таблице !!! :-)))
0) iptables -t nat -N mac_check
1) iptables -t nat -A mac_check -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT
2) iptables -t nat -A PREROUTING -j mac_check

так ты ж таблицу для создания цепочки не указал. Если ты хочешь в таблице nat эту цепочку создать, тогда надо: iptables -t nat -N mack_check А то она у тебя в таблице filter создается.

Признаю, лоханулся :)

Всем большое спасибо