Есть правило в PREROUTING, которое должно перенаправлять на локальный порт сервера все соединия, за исключением соединений где в dst определенная сеть, вот это правило:
-A PREROUTING -p tcp -i eth1 -m set ! --match-set access src ! -d 1.2.3.0/24 --dport 443 -j REDIRECT --to-ports 443
Логика следующая, если ip адреса клиента нет в ipset "access", то все попытки перехода на любой хост на порт 443, кроме хостов в сети 1.2.3.0/24, мы редиректим. Редирект проходит корректно, проблема только в том, что правило исключения сети 1.2.3.0/24 не работает, то есть, редиректится весь трафик, направленный на 443 порт без исключения.
В чем моя ошибка? Спасибо!