>У меня схема такая
>*filter
>:INPUT ACCEPT [6119:344155]
>:FORWARD ACCEPT [1685:1247089]
>:OUTPUT ACCEPT [13109:4296753]
>:localhost - [0:0]
>-A FORWARD -j localhost для чего эти две строчки с localhost ?
>COMMIT
>*nat
>:PREROUTING ACCEPT [3502:172884]
>:POSTROUTING ACCEPT [106:6858]
>:OUTPUT ACCEPT [85:5718]
>-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j SNAT --to -source 195.195.195.195
этьо правило напиши проще
-A POSTROUTING -o ethX -j SNAT --to -source 195.195.195.195
где ethX интерфейс смотрящий в интернет
>COMMIT
>мне нужно отрезать доступ некоторым ip адресам
>вопрос - в каком месте это надо сделать - в разделе nat
>или в разделе filter и как правильно написать команду?
>команда -I INPUT -s 192.168.0.8 -j DROP не сработала в разделе filter
>
для фильтрации предназначена таблица filter
в ней и делаются ограничения
цепочка INPUT предназначена для входящих пакетов т.е. для тех что идут непосредственно на роутер (http, ftp и т.д.)
для запрета хождения в инет
-I FORWARD -s 192.168.0.8 -j DROP
http://www.opennet.ru/docs/RUS/iptables/index.html