나는 iptables를 사용하여 해당 패킷이 도착한 장치(원래 IP 주소나 포트 등이 아닌)를 기반으로 들어오는 패킷을 표시하려고 시도하고 있지만 이것이 작동하도록 하는 방법을 찾지 못했습니다.
구체적으로, 들어오는 모든 패킷을 계산하는 필터를 설정할 수 있습니다(이는 정상적으로 작동합니다).
iptables -F -t mangle
iptables -A PREROUTING -t mangle -j MARK --set-mark 1
iptables -nvL
Chain PREROUTING (policy ACCEPT 185 packets, 41507 bytes)
pkts bytes target prot opt in out source destination
185 41507 MARK all -- * * 0.0.0.0/0 0.0.0.0/0 MARK set 0x1
그러나 eth2의 패킷만 포착하는 필터는 트리거되지 않는 것 같습니다(정확하게 모든 트래픽이 발생하는 곳임에도 불구하고).
iptables -F -t mangle
iptables -A PREROUTING -t mangle -i eth2 -j MARK --set-mark 1
iptables -nvL
Chain PREROUTING (policy ACCEPT 101 packets, 19288 bytes)
pkts bytes target prot opt in out source destination
0 0 MARK all -- eth2 * 0.0.0.0/0 0.0.0.0/0 MARK set 0x1
온라인 하우투 등을 보면 이 동작은 iptables 작동 방식의 논리적 결과일 수 있는 것으로 보입니다. 이 문제를 해결하기 위해 사람들은 IMQ를 사용해 보았고(IMQ가 삭제되기 전) 대신 IFB를 사용하게 되었습니다. 그러나 문서의 흔적은 완전히 차가워진 것 같았습니다.
그래서 제 질문은 이렇습니다. IFB를 사용하는 것이 이 문제를 해결하는 올바른 방법이라면 장치별로 들어오는 트래픽을 표시하는 동등한 IFB 방법은 어떤 모습일까요?
대안으로, 특정 인터페이스를 통해 들어오는 트래픽을 여러 영역 집합 중 하나로 분류하는 방법이 있습니까? 예를 들어 eth0 --> realm_10, eth1 --> realm_11 등. 이 접근 방식도 작동해야 하는 것처럼 보이지만 아직 이에 대한 실제 문서를 찾지 못했습니다.