Всем привет.
Не знаю сюда писать или в сети. Напишу сюда.
У меня есть кучка внутренних сетей и гейт с iptables и ipset. Чтобы не морочиться с кучей правил и перечислением всех сетей в правилах создал сет со списком моих сетей. С указанием моего сета в source вопросов нет. Есть вопрос как указать что дестинейшн НЕ мой сет.

Обычной форвард куда угодно работает
$IPTABLES -A FORWARD -m set --match-set my_lans src -j ACCEPT

Мне же надо сделать правило с использованием исключения
если сорс пакета входит в мой_сет а дестинейшен входит в НЕ мой сет, то делать то-то

Пробовал тупо поставить ! - оно ругается. Помогите плиз.

Хватит материтса, а по теме тут 99% не поймут что вы написали в том числе и я.

Где логи и конфиги?

Решено было давно... Кидаю сюда
$IPTABLES -t nat -A POSTROUTING -m set --match-set моя_сеть src -m set ! --match-set моя_сеть dst -o $INET_IFACE -j SNAT --to-source $INET_IP