Коллеги, такая задачка - хочу уменьшить флуд со своей стороны в порт WAN дропая то что туда может отправится с назначением BOGON сетей. Только вот трабла - айпишник и шлюз на WAN может тоже ведь быть из bogon сетей! Как грамотно такое дропать?
изнутри не так часто нужно разрешать обращения к шлюзу провайдера и к внешнему IP роутера (если он серый). Вполне можно запретить форвард на богон-сети из локалки. Если хочется для диагностики (или других целей) трафик до шлюза провайдера оставить - можно в этом же правиле указать Dst. Address !=%шлюз%
Трафик до внешнего адреса роутера, вообще будет попадать в цепочку инпут, т.е. этим правилом его не заблокировать.
