iptables:DNATの前にフィルタリング
iptables -t filter -A OUTPUT -d 1.2.3.4 -j DROP
iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner abc -j DNAT --to 127.0.0.1:121
最初のルールは、フィルターの前に処理されたため機能しません。それを回避する方法はありますか?
DNATの前に何もフィルタリングする必要はありません。あなたは間違った質問をします。
man iptables-extensions 特にモジュールconntrackとそのオプション--ctstate DNAT、--ctorigdst、および--ctorigdstportを確認する必要があります。
iptables -t nat -A OUTPUT -d 1.2.3.4 -j ACCEPT
iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner abc -j DNAT --to 127.0.0.1:121