iptables使用mark标记后再snat出现问题

loler_zuan

先简单说说需求。两个wan口，n个lan口，根据不同的协议进行不同的转发。
我用的是clearos（软路由）和layer7-user-space。
对每个满足设置协议的数据包打标记8。如果标记8则转发到wan1，否则转发到wan2。
之后设置snat，如果标记8，snat的源地址改为wan1的地址。否则同理设置为wan2的。
感觉这样设置没问题了。但是出现了下面的情况。

上面的policy ACCEPT接受0个包，为什么下面的规则还有处理的数据包？

下面附上我的设置。  我的layer7给QQ协议打标记8，经测试，这步肯定没问题。
我的环境是用虚拟机搭建的。wan1和wan2其实都是局域网内分配的，网管是192.168.72.254
我执行了下面的脚本

#! /bin/sh
ip route add table 8 via 192.168.72.254 dev eth1 #这个是wan2，对应的IP是192.168.72.106
ip route add table 10 via 192.168.72.254 dev eth0 #这个是wan1，对应的IP是192.168.72.103
iptables -F
iptables -t mangle -A PREROUTING -s 192.168.164.0/24 -j NFQUEUE
iptables -t mangle -A PREROUTING -d 192.168.164.0/24 -j NFQUEUE #这两步是为了layer在用户态可以执行，这步设置没问题

iptables -t nat -A POSTROUTING -m mark ! --mark 8 -j SNAT --to-source 192.168.72.103
iptables -t nat -A POSTROUTING -m mark --mark 8 -j SNAT --to-source 192.168.72.106

跟踪各个规则，发现在POSTROUTING的mangle点的hook函数中，还可以检测到被标记的数据包。
到下一个hook函数，也就是nat表中的函数，就检测不到了。
出现了上面图片的结果。
这什么情况啊？完全没头绪

chenyx

你现在数据包不是能发送到对应的wan口吗.
你试试在nat的时候,不用mark,直接-o ethx -j SNAT ...
这样能不能满足要求

loler_zuan

还是不可以啊。只能转发到第一个eth0。会不会是通过fwmark来识别不同的路由表的时候出了问题？回复 2# chenyx


   

chenyx

不清楚,你先保证数据包按照你的要求被转发到相应的端口.

loler_zuan

回复 4# chenyx

在POSTROUTING上先执行mangle挂载的hook函数，然后是nat挂载的hook函数。
在mangle的hook点，QQ协议数据包发往eth1，但是到了nat，发往eth0的数据包就成了0。好奇怪


   

chenyx

我记得策略路由应该可以根据你的数据包的mark选择路由表吧,你测试下

loler_zuan

回复 6# chenyx

使用fwmark可以根据标记选择路由表
从结果看，应该是已经选择了正确的路由表，QQ协议数据包确实发往eth1。但是在POSTROUINT的第二个hook函数中，发往eth1的数据包没了


   

lihongweibj

学习学习了