Existe-t-il un moyen de filtrer les paquets (p. Ex. Par iptables) après l'achèvement du routage?

Je souhaite déposer certains paquets destinés à une adresse ip après avoir atteint la chaîne POSTROUTING. Toutefois, pour iptables, la table "nat" ne peut pas être utilisée pour le filtrage, de sorte que ce qui suit ne fonctionne pas:

iptables -t nat -A POSTROUTING -d ip_address -j DROP 

Alors, est-ce que c'est un moyen de le faire? Si iptables ne peut pas le faire, y a-t-il des alternatives? S'il vous plaît donnez votre avis. Je vous remercie.

Le routage s'effectue immédiatement avant l'exécution des chaînes postrongées (donc le nom).

La façon dont vous voulez accomplir n'importe quelle tâche que vous essayez d'accomplir, je pense, n'est pas la bonne façon parce que c'est impossible. Cependant, tous les prédicats de filtrage raisonnables seront généralement existants avant la mise en route. Vous devriez pouvoir appliquer les mêmes critères de filtre qui, autrement, entraîneraient la modification du délai de transfert sur lequel vous souhaitez filtrer sur une règle de sortie ou de sortie.

Consultez ce diagramme pour savoir comment les paquets traversent iptables:

Entrez la description de l'image ici

Cet excellent diagramme est toujours maintenu parfois, et vient de http://xkr47.outerspace.dyndns.org/netfilter/packet_flow/ .