Ich erstelle ein Tun-Gerät mit ip tuntap add dev tun0 mode tunund möchte dann alle Pakete, die von tun0 kommen, mit markieren iptables -t mangle -A OUTPUT -o tun0 -j MARK --set-mark 1. Aber wenn ich mit die übereinstimmenden Regeln überprüfe iptables -t mangle -nvL, werden null Pakete gefunden. Kann mir jemand dabei helfen?
Tatsächlich habe ich andere Filter ausprobiert und nichts bekommen. Hat das etwas mit der Tun0-Konfiguration zu tun?
Antwort1
-o tun0ist einAusgabeGerätefilter, damit Ihre Mangle-Regel auf Pakete zutrifft, die das System über verlassen tun0. Um Pakete zu markieren, die von kommen tun0, verwenden Sie -i tun0und tun Sie dies wahrscheinlich besser in der PREROUTINGKette.
Beachten Sie auch, dass Paketmarkierungen nicht automatisch auf Antwortpakete angewendet werden. Diese Regel markiert immer nur Pakete eines unidirektionalen Flusses (eine bidirektionale Verbindung hat zwei Flüsse). Um Antwortpakete zu markieren, verwenden Sie einVerbindungsmarkeModul. Wenn Sie Paketmarkierungen benötigen, beispielsweise für das Richtlinienrouting, können Sie die Verbindungsmarkierung in eine Paketmarkierung kopieren. Dafür gibt es eine spezielle Aktion.