我使用 建立一個 tun 設備ip tuntap add dev tun0 mode tun,然後我想使用 為來自 tun0 的所有資料包設定標記iptables -t mangle -A OUTPUT -o tun0 -j MARK --set-mark 1。但是當我使用 檢查匹配規則時iptables -t mangle -nvL,匹配了零個資料包。有人可以幫我解決這個問題嗎?
事實上,我嘗試過其他過濾器,但一無所獲。這和tun0配置有關係嗎?
答案1
-o tun0是一個輸出裝置過濾器,以便您的 mangle 規則符合通過 離開系統的封包tun0。若要標記來自 的資料包tun0,請使用-i tun0,並且最好在鏈中進行PREROUTING。
另請注意,資料包標記不會自動套用於回覆資料包;此規則將僅標記一個單向流的資料包(雙向連接有兩個流)。若要標記回覆資料包,請使用連接標記模組。如果您需要封包標記(例如,用於策略路由),您可以將連接標記複製到封包標記,有一個特定的操作。