вопрос по айпитаблесам

iptables ... -s $MYIP -j MySrcIPchain
iptables ... -d $MYIP -j MyDstIPchain
iptables ... -j AlienTrafficChain

а айпитаблеса есть что то вроде встроенной переменной my_ip_on_iface_N ?

решение без разветвления ?

exclamation sign после -s и -d не подойдет?

> а айпитаблеса есть что то вроде встроенной переменной my_ip_on_iface_N ?

man iptabes! У iptables есть цепочки которые активируются только при условии, что пакет идет к вам или от вас.

назови их, чтоб по ману искать было проще

вабще интересен общий вопрос - можно ли инвертировать множество выбираемое rule-spec.

"вабще" десять секунд раздумий. Савсем регистранты думать разучились.

прямое (C):
iptables -A ... C -j CT
iptables -A CT C_true_1
iptables -A CT C_true_2

инвертированное (!C):
iptables -A ... -j CT
iptables -A CT C -j RETURN
iptables -A CT C_false_1
iptables -A CT C_false_2

А есть в iptables аналог me из ipfw

а то ведь количество интерфейсов может меняться

Для тех кто насмерть запаян в танк: man iptables !!! А вообще у iptables уесть 3 основные цепочки: INPUT - То что идет именно к ТЕБЕ OUTPUT - То что уходит от ТЕБЯ FORWARD - То что проходит через тебя (т.е. это траф друч банок твоей сети) т.е iptables -P OUTPUT DROP запретит весь исходящий траф. а, iptables -P FORWARD ACCEPT разрешит др. банкам через тебя работать! т.е. если ты сетевой шлюз в инет то в случее. iptables -P FORWARD ACCEPT iptables -P INPUT DROP iptables -P OUTPUT DROP Через тебя в инет ходить будут, но сам шлюз даж пинговаться при этом не будет и сам никуда ходить не сможет! *( Попробуй хакни :D )*

NAT трафик это проходит или уходит?

вроде как проходит, а на самом деле уходит