возможно ли DROP'ать пакеты идущие с eth0 на eth0:alias?

Незнаю как в новых версиях, а до 1.2.8 включительно нельзя этого
было сделать, однако слышал, что есть патч для такого дела, но ниразу
его не видел и не пробовал...

знаешь, только что сделал

iptables -I INPUT 1 -s 192.168.254.0/24 -d 172.16.0.0/24 -j DROP

пинг не ходит :) Это мне так только кажется, или как?

ЗЫ. iptables v1.2.7a из слаки

Ты вопрос как задал? Можно ли применить фильтр на eth0:alias,
т.е., как я понял, можно делать -i eth0:alias, я тебе ответил, что
нет, ты же приводишь пример, который на интерфейс не завязан,
спрашивается, что ты конкретно тогда хотел?

Согласен, несколько туповато вышло, извини.

У меня так со всем, о чем спрашиваю. Пытаюсь по контретнее, но ведь пока не разберешся в ответе, нормально вопрос не задашь :) Как-то об этом Шекли писал :)

ЗЫ. Возможно в теле поста больше конкретики

2McMCC: да, такой патч рульная весчь...где бы его найти только...самому что-то лень пИсать...

Да вы что? Какой патч? Интерфейс то один eth0.Форвард только между разными интерфейсами. Как компьютер через который НИЧЕГО не идёт может что-то фильтровать? "Это - фантастика" (с).

А почему тогда указанное правило работает? Может не так, как хотелось бы, но работает

Все нормально будет фильтроваться между eth0 и eth0:0. Интерфейсы тут НИПРИЧЕМ. Если пакет не предназначен для шлюза - то он попадает в iptables как FORWARD вне зависимости от интерфейса.