Каморка

Are wildcards (e.g. *) allowed in dport param?
E.g. I want to disable all incommming tcp connections from somehost. Can I do it like this?

iptables -A INPUT -p tcp --dport * --source somehost -j DROP

нет.
Там диапазон указывается типа --dport 100:45333
А чтобы дропнуть всё с какого-то хоста, dport не надо указывать.

btw. можно еще так сделать
route add somehost lo

CdR писал(а): btw. можно еще так сделать
route add somehost lo

Isn't that blocking the outgoing connections to somehost ?

Apparently, iptables is not suported by the kernel I am using.
Any other ideas on how to block incoming connections from certain hosts?

Demurrage писал(а): Apparently, iptables is not suported by the kernel I am using.
Any other ideas on how to block incoming connections from certain hosts?

тогда ipchains

Аман Ванкуверский писал(а):

Demurrage писал(а): Apparently, iptables is not suported by the kernel I am using.
Any other ideas on how to block incoming connections from certain hosts?

тогда ipchains

Хороший ответ! Версию ядра бы знать было неплохо.

Однако из предыдущей реплики следует, что хочется запретить именно "incoming connections" то ту всё еще усложняется, потому как отслеживание подобных цепочек появилось только в ветке 2.6.
Короче, RTFM, RTFM & RTFM (Крупский).
Можно конечно для упрощения жизни воспорльзоваться каким-то пакетом для "автоматической" генерации скриптров (http://www.shorewall.net/" target="_blank" target="_blank ? ), но то что Netfilters (iptables) поддержка должна быть в ядре -- это первое условие

CdR писал(а): отслеживание подобных цепочек появилось только в ветке 2.6.

?? stateful filtering был в netfilter с самого появления в ядре 2.4

а по большому счету +1 к вышенаписанному CdR-ом