IPTables INPUT и ucarp

Я предполагаю, что вы говорите о рекламных пакетах между хостами ucarp. Я не использовал ucarp, но быстрая проверка источника заставляет меня думать, что он слушает через libpcap, так что он будет эффективно защищен от фильтрации по iptables.

carp_send_ad() Кажется, что функция в carp.c - это источник рекламных пакетов. Я вижу код, собирающий кадр многоадресной или широковещательной передачи Ethernet (в зависимости от no_mcast логический) с рекламой CARP внутри. Исходный IP-адрес является IP-адресом источника, указанным в командной строке, а IP-адрес назначения - многоадресным адресом 224.0.0.18. Таким образом, вы можете фильтровать эти адреса источника и назначения в цепочке INPUT, но я думаю, вы обнаружите, что вам не нужно об этом беспокоиться, так как пакеты в любом случае отбрасываются по проводам с помощью libpcap.

(Было бы неплохо, если бы дождь немного ослабел, чтобы я не сидел внутри, играя в Server Fault...)