Creo un dispositivo tun usando ip tuntap add dev tun0 mode tun, luego quiero establecer una marca en todos los paquetes provenientes de tun0 usando iptables -t mangle -A OUTPUT -o tun0 -j MARK --set-mark 1. Pero cuando verifico las reglas coincidentes usando iptables -t mangle -nvL, no coincidieron ningún paquete. puede alguien ayudarme con esto?
De hecho, probé otros filtros y no obtuve nada. ¿Tiene esto algo que ver con la configuración de tun0?
Respuesta1
-o tun0es unproducciónfiltro de dispositivo, por lo que su regla de manipulación coincide con los paquetes que salen del sistema a través de tun0. Para marcar paquetes que vienen de tun0, use -i tun0, y probablemente sea mejor hacerlo en la PREROUTINGcadena.
Observe también que las marcas de paquetes no se aplican automáticamente a los paquetes de respuesta; esta regla solo marcará paquetes de un flujo unidireccional (una conexión bidireccional tiene dos flujos). Para marcar paquetes de respuesta utilice unmarca de conexiónmódulo. Si necesita marcas de paquetes, por ejemplo, para el enrutamiento de políticas, puede copiar la marca de conexión a una marca de paquete; existe una acción específica para eso.