具有 DHCP 的服务器(iface eth0 172.5.1.1/24)通过 openvpn 隧道(iface tun0 10.8.1.6)向 LAN 客户端提供互联网。我需要标记来自确切 LAN 客户端的 tcp 连接,例如 172.5.1.123
iptables -I FORWARD -m conntrack --ctorigsrc 172.5.1.123 --ctproto tcp -j CONNMARK --set-mark 123
在服务器 172.5.1.1 上执行命令时,conntrack -L --mark 123
我可以看到来自源 172.5.1.123 的所有 tcp 连接
问题是如何从 VPN 服务器的隧道接口 10.8.1.1 上的源 ip 172.5.1.123 捕获连接标记?
答案1
使用iptables标记来匹配它。
iptables -I FORWARD -m conntrack --ctorigsrc 172.5.1.123 --ctproto tcp -j MARK --set-mark 123
iptables -A PREROUTING -t mangle -m mark --mark 123 -j LOG