Estou tentando usar iptables para marcar pacotes recebidos com base no dispositivo onde esses pacotes chegaram (em vez de seu endereço IP ou porta de origem, etc.), mas não encontrei uma maneira de fazer isso funcionar.
Especificamente, posso configurar um filtro que conte todos os pacotes recebidos (e isso funciona bem):
iptables -F -t mangle
iptables -A PREROUTING -t mangle -j MARK --set-mark 1
iptables -nvL
Chain PREROUTING (policy ACCEPT 185 packets, 41507 bytes)
pkts bytes target prot opt in out source destination
185 41507 MARK all -- * * 0.0.0.0/0 0.0.0.0/0 MARK set 0x1
No entanto, um filtro para capturar apenas pacotes da eth2 nunca parece ser acionado (mesmo que seja exatamente de onde vem todo o tráfego):
iptables -F -t mangle
iptables -A PREROUTING -t mangle -i eth2 -j MARK --set-mark 1
iptables -nvL
Chain PREROUTING (policy ACCEPT 101 packets, 19288 bytes)
pkts bytes target prot opt in out source destination
0 0 MARK all -- eth2 * 0.0.0.0/0 0.0.0.0/0 MARK set 0x1
De tutoriais on-line, etc., parece que esse comportamento pode muito bem ser uma consequência lógica da maneira como o iptables funciona: e para contornar isso, as pessoas tentaram usar o IMQ (antes do IMQ ser abandonado): e então passaram a usar o IFB. Mas aí a trilha da documentação pareceu esfriar como pedra.
Então, minha pergunta é a seguinte: se usar o IFB é a maneira correta de contornar esse problema, como seria a maneira equivalente do IFB de marcar o tráfego de entrada por dispositivo?
alternativamente, existe uma maneira de classificar o tráfego que chega por uma determinada interface como parte de um conjunto de domínios diferentes? por exemplo, eth0 -> realm_10, eth1 -> realm_11, etc. Esta abordagem parece que também deveria funcionar, mas eu (novamente) ainda não encontrei nenhuma documentação prática para isso.