这是一个创建于 2331 天前的主题,其中的信息可能已经有所发展或是发生改变。
iptables -t mangle -A OUTPUT -m set --match-set vpn dst -j MARK --set-mark 0x88
iptables -t mangle -A PREROUTING -m set --match-set vpn dst -j MARK --set-mark 0x88
ip route add default dev vpn table 88
ip rule fwmark 0x88 lookup 88
一直以来都是用如上方式在路由器上部署 vpn 科学上网,本机产生的流量也都能正确分流。 今天突然想到这样做了两次 NAT,于是在路由器上去掉了 vpn 接口的 NAT 规则,然后在 vps 上配置到 lan 侧的路由后,在 lan 上的设备就能正常通过 vpn 访问外网了,但是路由器本身的流量却出现了异常,在 vpn 接口上能看到发包,但是源地址却是 pppoe-wan 的,这样自然回程就不通了。但是
ip rule to 8.8.8.8 lookup 88
或者
ip route add 8.8.8.8 dev vpn
又都能让本机到 8.8.8.8 的流量正常走 vpn 接口。
所以这个的原理是什么?该如何让本机流量根据 MARK 分流呢?
 |
1
LGA1150 2018-07-07 03:05:18 +08:00 via Android
ip route add default dev vpn table 88 src <vpn 接口地址>
|
 |
2
cwbsw OP @LGA1150
这样还是不行啊,奇怪的是 ip rule to 8.8.8.8 lookup 88 就能行得通,有 MARK 的包也确实是从 vpn 接口发出去了。 |
|
3
cwbsw OP 似乎 Linux 协议栈选择路由决定源地址是在 OUTPUT 链之前,查询的是默认路由表,所以要改变本机流量的源地址只能做 NAT。
https://upload.wikimedia.org/wikipedia/commons/3/37/Netfilter-packet-flow.svg |
Select Language