Как правильно настроить iptables с ipset?

Question

[Артем Сорокин]

Добрый день!

Пытаюсь разобраться с настройкой iptables. Задача состоит в следующем: определенному IP-адресу сети следует дать доступ к/от определенного набора IP адресов, записанных в одном из сетов ipset, а пакеты в адрес/от других IP-адресов - дропить.

Написал следующие правила:

iptables -I FORWARD 1 -s 192.168.1.35 -m set --match-set MYSET src,dst -j ACCEPT
iptables -I FORWARD 2 -d 192.168.1.35 -m set --match-set MYSET src,dst -j ACCEPT
iptables -I FORWARD 3 -s 192.168.1.35 -j DROP
iptables -I FORWARD 4 -d 192.168.1.35 -j DROP

Результат - все пакеты от устройства дропятся, как будто первых двух правил и нет.
Сет MYSET создан корректно, проверял (ipset -L MYSET).

Answer 1

[Олег Баталов]

Попробуйте
iptables -I FORWARD 1 -s 192.168.1.35 -m set --match-set MYSET dst -j ACCEPT
iptables -I FORWARD 2 -d 192.168.1.35 -m set --match-set MYSET src -j ACCEPT

Answer 2

[krosh]

iptables -I FORWARD 1 -m state --state RELATED,ESTABLISHED -m comment --comment "РАЗРЕШЕНО Установленные соединения" -j ACCEPT
iptables -I FORWARD 2 -s 192.168.1.35 -m set --match-set MYSET dst -m comment --comment "РАЗРЕШЕНО Доступ по списку MYSET" -j ACCEPT
iptables -P FORWARD DROP