Nic na tom neni.
V primarni chainu, kterej chcete pouzivat (obvykle Forward) si vytvorite dve pravidla (up/down) pro kazdej subnet. Ja mam segmentovani po /26. V Action vyberete Jump a do Jump Target napisete jak ten novej chain chcete pojmenovat - napr. ==192.168.57.0/26== (je to fuk)
V tyto chvili mate vytvorenej novej chain, vpravo nahore si do nej prepnete a tam uz hazite pravdila/usery jako v klasickym Forwardu a manglujete.
Stejne to funguje i ve Firewallu. Pokud chci filtrovat napr. jednotlivy IP z nejakyhu subnetu, udelam to uplne stejne jako v prikladu vyse: Vytvorim Jump do novyho chainu a vsechny IP z toho subnetu povoluju/zakazuju v tom chainu. A na konci kazdyho takovyho chainu ve FW mam globalni drop.
Smysl to ma jednoduchej: Firewal/Mangle se prochazi od shora dolu. Paklize udelam Jump do jednotlivych subnetu, packet proste dle zadanych kriterii skoci do toho patricnyho chainu a nemusi prolizat tisice zaznamu.
Pokud s tim packetem chci nasledne jeste neco delat, misto Accept v tom specifickym chainu dam Return a skoci mi to zpet do chainu, ze kteryho sem do tohoto chainu skakal (snad je to pochopitelny )
Rozhodne pouzivejte address listy, i kdyby se melo jednat o 5 IP
Pokud to vas layout site umoznuje, v pravidlech definujte i ifacy.
A posledni vec.. pouzivejte established, related pravidla! A to vždy nahoře FW. Tím se navázaný spojení znova netlačí zbytečně do chainů.
<--- ia0 -->mangle.jpg<--- ia0 -->
J.
edit: NAT na MK neresim, NATuju na ASR za MK (MPLS, BGP)
