mangle表的PREROUTING链添加mark规则,nat的PREROUTING链添加match规则,打几个流过后发现nat表里没有匹配上的报文。
规则如下:
mangle表的PREROUTING链
iptables -t mangle -A PREROUTING -j MARK --set-mark 0x01 -i br-user
iptables -t mangle -A PREROUTING -m mark --mark 0x01 -i br-user -j zxf
nat表的PREROUTING链
iptables -t nat -A PREROUTING -m mark --mark 0x01 -i br-user -j zxf
输入后iptables -nvL截图如下:
mangle:
nat:
然后打流,打几个流后截图如下
可以看到,mangle表里计数有增加,而nat表里没有动静。
请问下各路大神,这是咋回事?
如何才能让mangle表里打的mark能在nat表里match上?
补充一下,这个问题是在openwrt上使用wifidog发现的:
在wifidog中,认证过的客户端的报文会在mangle表被打上0x02的mark,然后在nat里匹配上mark就直接放行;没认证过的客户端则不会打mark,在nat表里就匹配不上mark,就将报文重定向到本机的wifidog进程里去。
现在上述问题就造成了重复认证的情况,即mangle表里有打mark的规则,但是在nat表里还是给重定向到本机的wifidog里去了。
本机的nat表里除了wifidog建立的规则没有其他规则了。mangle表有一条多的空规则。
(本问题所有规则讨论均在PREROUTING链下)