Bom, depois de criados os conjuntos e adicionados alguns registros, vamos inserir as regras no firewall para que de fato esses conjuntos tenham alguma serventia.

1. Bloquearemos qualquer pacote de entrada para o conjunto ip_bloqueado:

# iptables -A INPUT -t filter -m set --match-set ip_bloqueado src -j DROP

A opção -m carrega o módulo "set" e através da opção "--match-set" definimos qual conjunto será utilizado, a flag src define que será comparado com o IP de origem do pacote. Após executar o comando acima todos os pacotes vindos dos IPs inseridos no conjunto ip_bloqueado com destino o próprio firewall serão bloqueados. 2. Permitiremos qualquer pacote com destino a Internet vindo do IP e MAC que estiver no conjunto ipmac_list:

# iptables -P FORWARD DROP
# iptables -A FORWARD -t filter -o eth2 -j ACCEPT
# iptables -A FORWARD -t filter -m set --match-set ipmac_list src,src -o eth0 -j ACCEPT

O primeiro comando define a política padrão como DROP, o segundo permite que pacotes vindo da Internet sejam repassados para a interface eth2 e por último definimos que os pacotes para Internet vindos do pares de IPs e MACs no conjunto ipmac_list sejam liberados. As flags "src,src" definem que o IP e o MAC serão comparados com o IP e MAC de origem.