O pacote clonado foi clonado iptables-mod-teeapós a clonagem quando adiciono uma regra como esta?:
iptables -t mangle -A POSTROUTING -o eth2 -j TEE --gateway 192.168.0.3
Consulte o diagrama abaixo. Acho que é óbvio que com o comando acima, o iptables-mod-teemódulo usa o POSTROUTING chaindo mangle tablecomo clonagemfontemas o que acontece com o pacotedepoisé clonado? ou seja, para qual cadeia e tabela o clone vai?
EDIT: Adicionada uma linha tracejada vermelha ao diagrama acima, para representar o caminho do pacote clonado descrito na resposta.
Responder1
O pacoteclonado através do TEE,está configurado para não ser rastreado pelo conntrack,impedido de ser duplicado novamentee emitido através dosaída localparte da pilha de roteamento, vista pela primeira vez por raw/OUTPUT (você também pode consultar esteFluxo de pacotes no esquema Netfilter e General Networking: isso seria logo após o processo local). Isto seria o mesmo se a duplicação fosse feita antes (por exemplo, em mangle ou PREROUTING bruto) para um pacote roteado. Isto torna difícil (masnão é impossível) para receber tratamento adicional como um nat adicional, pois não será rastreado e é difícil distingui-lo do original.
Aqui está um exemploVESTÍGIO(usando a versão do iptables-legacy) captura em uma configuração semelhante aos OP's de um ping feito de 192.168.0.2 a 8.8.8.8: a captura foi no roteador usando iptables -t raw -A OUTPUT -j TRACE. O originalroteadoo pacote não aparecerá, pois teria que ser capturado do raw/PREROUTING, validando assim a explicação acima informando que foi feito a partir da saída.
TRACE: raw:OUTPUT:policy:2 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1
TRACE: mangle:OUTPUT:policy:1 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1
TRACE: mangle:POSTROUTING:policy:2 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1