을 사용하여 tun 장치를 만든 ip tuntap add dev tun0 mode tun다음 를 사용하여 tun0에서 오는 모든 패킷에 표시를 설정하고 싶습니다 iptables -t mangle -A OUTPUT -o tun0 -j MARK --set-mark 1. 하지만 을 사용하여 일치하는 규칙을 확인하면 iptables -t mangle -nvL일치하는 패킷이 0개였습니다. 누군가 나를 도와줄 수 있나요?
실제로 나는 다른 필터를 시도했지만 아무것도 얻지 못했습니다. 이것이 tun0 구성과 관련이 있습니까?
답변1
-o tun0이다산출장치 필터를 사용하므로 맹글 규칙은 를 통해 시스템에서 나가는 패킷과 일치합니다 tun0. 에서 들어오는 패킷을 표시하려면 tun0을 사용 -i tun0하고 PREROUTING체인에서 수행하는 것이 더 나을 것입니다.
또한 패킷 표시는 응답 패킷에 자동으로 적용되지 않습니다. 이 규칙은 하나의 단방향 흐름의 패킷만 표시합니다(양방향 연결에는 두 개의 흐름이 있음). 응답 패킷을 표시하려면연결 표시기준 치수. 예를 들어 정책 라우팅을 위해 패킷 표시가 필요한 경우 연결 표시를 패킷 표시에 복사할 수 있으며 이에 대한 특정 작업이 있습니다.