conntrackマーカーを正しくキャプチャする方法は?

conntrackマーカーを正しくキャプチャする方法は?

DHCP(iface eth0 172.5.1.1/24)を持つサーバーは、openvpnトンネル(iface tun0 10.8.1.6)を介してLANクライアントにインターネットを提供します。正確なLANクライアントのTCP接続にタグを付ける必要があります(例:172.5.1.123)。

iptables -I FORWARD -m conntrack --ctorigsrc 172.5.1.123 --ctproto tcp -j CONNMARK --set-mark 123

サーバー 172.5.1.1 でコマンドを実行すると、conntrack -L --mark 123ソース 172.5.1.123 のすべての TCP 接続を表示できます。

問題は、VPNサーバーのトンネルインターフェイス10.8.1.1の送信元IP 172.5.1.123から接続タグをキャプチャする方法です。

答え1

iptablesタグを使用して一致させます。

iptables -I FORWARD -m conntrack --ctorigsrc 172.5.1.123 --ctproto tcp -j MARK --set-mark 123

iptables -A PREROUTING -t mangle -m mark --mark 123 -j LOG

関連情報