Jak zezwolić tylko podsieci na port z iptables

To, co próbuję zrobić, to ZMNIEJSZYĆ wszystkie pakiety do określonego portu UDP, z wyjątkiem tych z mojej zabezpieczonej podsieci 10.8.0.0/24.

iptables -t nat -A --src 10.8.0.0/24 -p udp --destination-port 63210 -j ACCEPT

Dostaję ten błąd: Bad argument: 10.8.0.0/24

Nie rozumiem, dlaczego to nie działa ...

• Dlaczego ta komenda mówi, że IP jest złym argumentem?
• Jak DROPOWAĆ inne pakiety poza podsiecią?
• Czy powinienem używać tabeli NAT?
• Jak to osiągnąć?

Znalazłem takie rozwiązanie:

AKTUALIZACJA

iptables -N xchain
iptables -A xchain --source 10.8.0.0/24 -j ACCEPT
iptables -A xchain -j DROP
iptables -I INPUT -p udp --dport 63210 -j xchain

Po zastosowaniu tego nie mogę uzyskać dostępu do portu z ANY ip ...

PROBLEM Mam serwer OpenVPN ustawiony na interfejsie tun0, przekazując pakiety do eth0 w ten sposób:

iptables -I FORWARD -i tun0 -o eth0 \
         -s 10.8.0.0/24 -m conntrack --ctstate NEW -j ACCEPT

iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED \
         -j ACCEPT

iptables -t nat -I POSTROUTING -o eth0 \
          -s 10.8.0.0/24 -j MASQUERADE

Pytanie brzmi: jak przechwycić ruch tun0 i przefiltrować go zamiast eth0, gdzie adresy IP stają się rzeczywiste.

Następnie spróbuj zablokować tabelę NAT, spróbuj tabeli FORWARD.

iptables -A FORWARD --src 10.8.0.0/24 -p udp - port docelowy 63210   -j AKCEPTUJ

iptables -A FORWARD -p udp --destination-port 63210 -j DROP

To zaakceptuje pakiety dla twojej sieci LAN i upuści wszystko inne (dla tego portu), które są przekazywane przez router - nawet jeśli NAT jest zaangażowany. Zauważ, że nie przechwyci żądań pochodzących lub kończących się na samym routerze, ponieważ używałbyś INPUT i / lub OUTPUT, a nie łańcucha forward.

Łańcuch forward jest analizowany przed łańcuchem NAT, dzięki czemu można dopasować w nim źródłowy i docelowy adres IP.