Как сделать список destination в iptables?

Question

[Вячеслав Кравцов]

Суть. Нужно в iptables сделать некое правило, которое будет маркировать трафик, но из маркировки исключить несколько диапазонов IP адресов, типа:
iptables -A PREROUTING -i enp1s0 -s 10.8.0.0/24 ! -d 10.9.0.0/24 -t mangle -j MARK --set-mark 4

Вот где ! -d , необходимо несколько пуллов, 10.11.0.0/24, 10.14.0.0/24 и др.
Много где есть информация об ipset, но там приведен пример -m set --match-set IP_LISTS src , а как с destination примеров найти не удалось.
Может кто подскажет, как в iptables это провернуть?
Есть, конечно, способ по несколько раз перемаркировывать трафик, но мне кажется это неправильный подход.

Comments

[Евгений Хлебников]

кроме ответа shurshur я бы еще прояснил про

но там приведен пример -m set --match-set IP_LISTS src , а

логично, что должно быть -m set --match-set IP_LISTS dst
вот например про ipset почитать https://www.linuxjournal.com/content/advanced-fire...

[Вячеслав Кравцов]

А я думал src - это список, а не правило. Все сработало, спасибо.

Answer 1

[shurshur]

Например, так:

iptables -t mangle -N SPISOK
iptables -t mangle -A SPISOK -d 10.9.0.0/24 -j RETURN
iptables -t mangle -A SPISOK -d 10.11.0.0/24 -j RETURN
iptables -t mangle -A SPISOK -d 10.14.0.0/24 -j RETURN
iptables -t mangle -A SPISOK -j MARK --set-mark 4
iptables -t mangle -A PREROUTING -i enp1s0 -s 10.8.0.0/24 -j SPISOK