[Comm] вопрос по iptables

[Sergey V. Golovin]

* Dmitry Kovalsky <dikov на imbg.org.ua> [11 Sep Thu 11:20]
> Привет
> 
> имеем хост который в данный момент имееет активные соединения
> и я хочу ему закрыть доступ полностью
> я прописываю такую команду
> iptables -A PREROUTING -t nat -s $LOCHOST -d 0/0 -j DROP
> 
> в результате по активным соединениям он продолжает качать а вот новые уже не 
> делает. вопрос-- почему он не дропает эти активные соединения?

потому что только первые пакеты в соединении проходят через nat.

The rest of the packets in the stream will in other words not go 
through this table again, but instead they will automatically have 
the same actions taken to them as the first packet in the stream. 

Фильтровать надо через filter(FORWARD)


-- 
Sergey V. Golovin