iptables设置mark后snat的一个诡异现象

loler_zuan

先简单说说需求。两个wan口，n个lan口，根据不同的协议进行不同的转发。
我用的是clearos和layer7-user-space。
对每个数据包打标记8。如果标记8则转发到wan1，否则转发到wan2。
之后设置snat，如果标记8，snat的源地址改为wan1的地址。否则同理设置为wan2的。
感觉这样设置没问题了。但是出现了下面的情况。

上面的policy ACCEPT接受0个包，为什么下面的规则还有处理的数据包？

下面附上我的设置。  我的layer7给QQ协议打标记8，经测试，这步肯定没问题。
我的环境是用虚拟机搭建的。wan1和wan2其实都是局域网内分配的，网管是192.168.72.254
我执行了下面的脚本

#! /bin/sh
ip route add table 8 via 192.168.72.254 dev eth1 #这个是wan2，对应的IP是192.168.72.106
ip route add table 10 via 192.168.72.254 dev eth0 #这个是wan1，对应的IP是192.168.72.103
iptables -F
iptables -t mangle -A PREROUTING -s 192.168.164.0/24 -j NFQUEUE
iptables -t mangle -A PREROUTING -d 192.168.164.0/24 -j NFQUEUE #这两步是为了layer在用户态可以执行，这步设置没问题

iptables -t nat -A POSTROUTING -m mark ! --mark 8 -j SNAT --to-source 192.168.72.103
iptables -t nat -A POSTROUTING -m mark --mark 8 -j SNAT --to-source 192.168.72.106

跟踪各个规则，发现在POSTROUTING的mangle点的hook函数中，还可以检测到被标记的数据包。
到下一个hook函数，也就是nat表中的函数，就检测不到了。
出现了上面图片的结果。
这什么情况啊？完全没头绪