ciaoho capito cosa intendi.....sinceramente una risposta precisa non te la so dare, ma se iptables "ragiona" come un router potresti provare con regole tipo
se iptables sceglie la regola che si adatta al pacchetto col longest prefix matching (il match tra pacchetto e prefisso più lungo della maschera) dovrebbe andare bene.... basta che regoli il prefisso (conoscendo l'indirizzo della subnet) in modo che i pacchetti da 192.168.X.Y vengono droppati per la prima regola mentre quelli da 192.168.1.K vengono droppati per la seconda.... prova quanto detto e fammi sapere i risultati....è un esperimento che mi interessa :-DIPT="/sbin/iptables" LAN_NET="192.168.0.0/16" LAN_NET_2="192.168.1.0/24" $IPT -A landmz -s ! $LAN_NET -j LOG --log-prefix "ch=landmz :1 a=DROP " $IPT -A landmz -s ! $LAN_NET -j DROP $IPT -A landmz -s ! $LAN_NET_2 -j LOG --log-prefix "ch=landmz :1 a=DROP " $IPT -A landmz -s ! $LAN_NET_2 -j DROP
per il secondo problema mi viene solo da pensare di sniffare con ethereal il traffico che genera nmap e dropparlo con iptables....cioè se B fosse la macchina remota del tuo esempio e A la macchina locale dove hai fatto partire nmap e ftp, allora su A lanci ethereal e nmap collegandoti a B e vedendo che protocollo/porta/pacchetto usa...
in questo modo vai su B e droppi/reject con i dati raccolti ;-D Saluti! _________________________________________________________________Ricerche online più semplici e veloci con MSN Toolbar! http://toolbar.msn.it/