是否有可能用 iptables 标记传出数据包并通过响应识别它们?我有一个非常简单的传出规则:
iptables -A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED,RELATED --m owner --uid-owner XXX -j ACCEPT
接受来自此规则的响应的一种方法是接受所有状态为 ESTABLISHED、RELATED 的传入数据包。
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
但我担心这会扰乱我严格配置的防火墙设置。相反,我正在寻找一种方法来“标记”/“标记”此传出数据包,然后检查响应。我知道 iptables 有,--set-mark但我不认为它按照我想要的方式工作。
我正在寻找这样的东西:
iptables -A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED,RELATED -m owner --uid-owner 122 -m mark --set-mark 0x10 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -m mark --mark 0x10 -j ACCEPT
我知道标记发生在 mangle 表中,但这只是一个例子来说明我想要的。