а разве не наоборот? всегда думал, что правила проверяются до первого совпадения.

офтопик, но все же
таких проблем нет на Open и FreeBSD при использовании pf, так как существует quick

FreeBSD меня разочаровала своей тормознутойстью как в работе с файрволлом (ipfw правда.. для 1500 правил пришлось 20 проверок и скипов делать, чтобы хоть как-то оптимизировать файрволл) так и работой с файловой системой.

А если по теме:
проверял так:
-A -d 0.0.0.0 -j MARK --set-mark 1
-A -d 1.2.3.0/24 -j MARK --set-mark 2

в данном случает пакет в сеть 1.2.3.0 метится маркой 2, хотя по первому совпадению он должен пометиться как 1.
Т.е., метится по последнему совпадению, что мега-неоптимильно ...

есть такая фигня, поэтому иди и смотри в pom соответствующие модули (например goto)

В SELinux етой проблемы вродебы нету, покрайней мере у меня когдато в Gentoo даже какаято дока была с какимто патчем, так что приятно порытся :)

pf и FreeBSD

так используй pf - я же про него говорю в релизах до 5.3 в портах, после в base

к тому же pf может работать со списками и таблицами - то есть грубо говоря с группами ip адресов и сетей, и для них писать правила, nat привязыывается сразу к сетевухе - без неообходимости указания ip, в общем я достаточно долго работал с iptables как для маршрутизации, так и для фильтрации, но pf мне понравилось более простой логикой.

Делай вот так:

-A -d 0.0.0.0 -j MARK --set-mark 1 -A -m mark --mark 1 -j ACCEPT -A -d 1.2.3.0/24 -j MARK --set-mark 2

тогда все оки будет

> к тому же pf может работать со списками и таблицами - то есть грубо говоря с группами ip адресов

-m recent ?

>nat привязыывается сразу к сетевухе

-o $if -j MASQUERADE ?

Делай вот так:

-A -d 0.0.0.0 -j MARK --set-mark 1
-A -m mark --mark 1 -j ACCEPT
-A -d 1.2.3.0/24 -j MARK --set-mark 2

тогда все оки будет

...долбанное форматирование :(

Мне кажется, лучше наплодить дополнительных цепочек в которых метить и акцептить, а в основной цепочке проверять только на соответствие критерию и делать переход в дополнительную. А еще можно это всё замутить в виде двоичного дерева :) для большей оптимизации.

В такой схеме:

-A -d 0.0.0.0 -j MARK --set-mark 1
-A -m mark --mark 1 -j ACCEPT
-A -d 1.2.3.0/24 -j MARK --set-mark 2

Безусловно, есть часть плюса. Но есть и часть минуса
Ведь тем пакетам, которые будут проходить только по последнему правилу придется провериться в 2 раза больше раз...

Вариант в цепочками мне понравился - я подумал, что кода -j MY_CHAIN, то проходит по первому совпадению.
Оказалось, нет :(
Создал две цепочки
iptables -t mangle -N RUSSIA
iptables -t mangle -N WORLD
iptables -t mangle -A RUSSIA -j MARK --set-mark 2
iptables -t mangle -A WORLD -j MARK --set-mark 1

Сделал такие правила:

Chain OUTPUT (policy ACCEPT 80M packets, 110G bytes)
pkts bytes target prot opt in out source destination
178K 100M WORLD tcp -- * * 0.0.0.0/0 0.0.0.0/0
139K 125M RUSSIA all -- * * 0.0.0.0/0 195.209.0.0/16
0 0 RUSSIA all -- * * 0.0.0.0/0 147.45.0.0/16

Как видно, все по идее должно идти в цепочку WORLD.
Ан нет! :(
Туда идет только то, что не попало в другие ...

Как пакеты метятся видно, а вот как в конце цепочки обрубается дальнейшая обработка нет, добавь:

iptables -t mangle -A RUSSIA -j ACCEPT iptables -t mangle -A WORLD -j ACCEPT

Да, потом добавил :)
А еще глюк был в том, что я только TCP-пакеты в WORLD отправлял :)
Все работает, спасибо! :)