Nowa wersja iptables-1.4.3.2 i stare regu

[walacik]

Witam.

Kiedyś bawiąc się w ruting, miałem napisane swoje regułki w iptables. Jednak, po zainstalowaniu nowego Debiana z wersją iptables 1.4.3.2 przy regule:

Kod: Zaznacz cały

iptables -t nat -I PREROUTING -i eth2 -m multiport -p tcp -s 192.168.0.100/32 -d 0/0 --destination-ports 80 -j DROP

dostaje błąd:

Kod: Zaznacz cały

The "nat" table is not intended for filtering, the use of DROP is therefore inhibited.

i nie wiem jak się do końca z nim uporać aby zaczęło działać wszystko tak jak kiedyś.

Pozdrawiam.

Edycja:
Zrobiłem małe obejście wpisując:

Kod: Zaznacz cały

iptables -A FORWARD -i eth2 -s 192.168.0.100/32 -d 0/0 -j DROP

Ale ładnie to nie wygląda, więc, jakby ktoś miał pomysł, jak ładnie ten problem rozwiązać to proszę o odpowiedź.

[Bastian]

Nie wiem dlaczego uważasz, że ta druga reguła nie wygląda dobrze. Jeżeli nie chcesz wpuszczać połączeń przeznaczonych dla innych hostów/sieci to lancuch forward tablicy filter to wlasciwe miejsce zeby datagram ubić.

[markossx]

Dokładnie jak napisał Bastian. Poza tym to co dostałeś od iptables to nie błąd tylko informacja, że nat nie jest dobrym miejscem na dropowanie pakietów.

[walacik]

Dziękuję za odpowiedź i zostawię to tak jak zrobiłem.
markossx, jak dla mnie jest to błąd, bo jeśli coś się źle wykonuje (nie wykonuje) to znaczy, że jest błędne i tutaj tak jest. A to, że ładnie mi napisali to miejsce jest złe i przejrzyj pomoc to mało mnie interesuje. Lepiej jakby napisali wprost, że tabela nat już nie akceptuje opcji ,,drop'' i żeby użyć tabeli filtr. Ułatwiłoby to o wiele życie i na pewno skróciło czas grzebania z 2-3 godzin do 5-10 minut. No ale nieważne, liczy się, że działa.

Pozdrawiam.