如何正确捕捉 conntrack 标记?

如何正确捕捉 conntrack 标记?

具有 DHCP 的服务器(iface eth0 172.5.1.1/24)通过 openvpn 隧道(iface tun0 10.8.1.6)向 LAN 客户端提供互联网。我需要标记来自确切 LAN 客户端的 tcp 连接,例如 172.5.1.123

iptables -I FORWARD -m conntrack --ctorigsrc 172.5.1.123 --ctproto tcp -j CONNMARK --set-mark 123

在服务器 172.5.1.1 上执行命令时,conntrack -L --mark 123我可以看到来自源 172.5.1.123 的所有 tcp 连接

问题是如何从 VPN 服务器的隧道接口 10.8.1.1 上的源 ip 172.5.1.123 捕获连接标记?

答案1

使用iptables标记来匹配它。

iptables -I FORWARD -m conntrack --ctorigsrc 172.5.1.123 --ctproto tcp -j MARK --set-mark 123

iptables -A PREROUTING -t mangle -m mark --mark 123 -j LOG

相关内容