iptables доступ к ftp с определённых ip

пакеты приходят с другими source IP

Ну по идее другие ip должны отлетать,а с них доступ есть...или я тебя не так понял?

При пробросе портов поменялся source ip. Вы чем порты пробрасывали?

Правило iptables -A INPUT

Где это запускал? На ftp-сервере или на гейте?

Потому что в таблицу input пакет попадает только на том хосте, которому он предназначен. Режь в forward'е или уже на ftp-сервере.

на гейте

через iptables пробрасывал iptables -A PREROUTING -d 7.7.7.7 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.0.3:21

Я думал что пакеты нужно резать на том интерфейсе,на который они приходят (интерфейс смотрит во внешний мир)..на ftp не получится,он за натом.Попробовал так iptables -A INPUT -i eth0 -s 1.1.1.1,2.2.2.2,3.3.3.3 -p tcp --dport 21 -j DROP (на гейте),тоже не взлетело...

FORWARD же.

-s 1.1.1.1,2.2.2.2,3.3.3.3

используй --src-range или несколько правил.

INPUT

это если у тебя ftp daemon там же, где iptables. Но в таком случае используй конфиг ftp деона. Если это шлюз, то FORWARD.

-j DROP не работает.Помогите понять почему.

-j LOG поможет

Ты весь мой камент прочитай, а не только некоторые слова.

доступ снаружи только определённым ip,всех остальных дропать.

Тогда это два правила, сначала ACCEPT для определённых ip-адресов, потом DROP всем адресам. Ну, а в INPUT или в FORWARD определяется тем, где будут эти правила — на сервере или на маршрутизаторе.

Прочитал,для полного понимания пришлось прочесть http://www.opennet.ru/docs/RUS/iptables/ ,пакеты режутся в forwarde,всё получилось,спасибо за подсказку!

Вот охота же курить переводы, сделанные больше 10 лет назад, когда в самой обычной википедии есть годная картинка, дающая неплохое представление о порядке прохождения пакетов.
Схорони, пригодится еще.