В руководстве по iptables написано, что в mangle не рекомендуется фильтровать трафик. В частности интересует DROP по критерию mark и DROP по критериям -i , -s.
Есть какая-нибудь техническая причина такого ограничения или так пишут просто из-за первоначального предназначения таблицы mangle ?
Надо отфильтровать все пакеты на интерфейсах с заведомо ложными источниками. Можно конечно некоторые пакеты метить в mangle ( PREROUTING ) и потом их резать в filter ( INPUT/FORWARD), но куда красивее выглядит вынос Всех действий с плохими пакетами в mangle ( PREROUTING )...
Технически команды вида
iptables -t mangle -A PREROUTING -p all -i eth0 -s 192.168.0.0/16 -j DROP проходят.