iptables 在 OUTPUT 里使用 cgroup 匹配的连接在-j MARK 后似没有重路由
Smokovsky 2024-05-26 22:53:40 +08:00 1182 次点击这是一个创建于 505 天前的主题,其中的信息可能已经有所发展或是发生改变。
如题,例子:
# Generated by iptables-save v1.8.10 (nf_tables) on Sun May 26 07:35:13 2024 *mangle :PREROUTING ACCEPT [3938050:2380423593] :INPUT ACCEPT [47464987:94663961441] :FORWARD ACCEPT [89904:8730904] :OUTPUT ACCEPT [40543507:96091968422] :POSTROUTING ACCEPT [40624330:96099741064] :DIVERT - [0:0] :XRAY - [0:0] :XRAY_MASK - [0:0] -A PREROUTING -p tcp -m socket -j DIVERT -A PREROUTING -j XRAY -A OUTPUT -j XRAY_MASK -A DIVERT -j MARK --set-mark 1 -A DIVERT -j ACCEPT # -A XRAY -m mark --mark 1 -j DROP # 有效,会导致本机断网 # -A XRAY -m mark --mark 2 -j DROP # 无效,没有匹配到任何流量,aria2.service 也能正常连网 -A XRAY -m mark --mark 0xff -j RETURN -A XRAY -d 223.5.5.5/32 -j RETURN -A XRAY -d 192.168.240.0/24 -j RETURN -A XRAY -d 127.0.0.0/24 -j RETURN -A XRAY -d 224.0.0.0/4 -j RETURN -A XRAY -d 255.255.255.255/32 -j RETURN -A XRAY -d 192.168.239.0/24 -p tcp -j RETURN -A XRAY -d 192.168.239.0/24 -p udp -j RETURN # ↓ 为 aria2 单独配置代理,但是不工作 -A XRAY -m mark --mark 2 -p tcp -j TPROXY --on-port 1089 --on-ip 127.0.0.1 --tproxy-mark 1 -A XRAY -m mark --mark 2 -p udp -j TPROXY --on-port 1089 --on-ip 127.0.0.1 --tproxy-mark 1 -A XRAY -p udp -j TPROXY --on-port 1088 --on-ip 127.0.0.1 --tproxy-mark 1 -A XRAY -p tcp -j TPROXY --on-port 1088 --on-ip 127.0.0.1 --tproxy-mark 1 -A XRAY_MASK -m conntrack --ctdir REPLY -j RETURN -A XRAY_MASK -m mark --mark 0xff -j RETURN -A XRAY_MASK -d 223.5.5.5/32 -j RETURN -A XRAY_MASK -d 192.168.240.0/24 -j RETURN -A XRAY_MASK -d 127.0.0.0/24 -j RETURN -A XRAY_MASK -d 224.0.0.0/4 -j RETURN -A XRAY_MASK -d 255.255.255.255/32 -j RETURN -A XRAY_MASK -d 192.168.239.0/24 -p tcp -j RETURN -A XRAY_MASK -d 192.168.239.0/24 -p udp -j RETURN # ↓ 匹配到了流量,但是似乎没有在 XRAY chain 里进行重路由 -A XRAY_MASK -m cgroup --path "/system.slice/aria2.service" -j MARK --set-mark 2 -A XRAY_MASK -p udp -j MARK --set-mark 1 -A XRAY_MASK -p tcp -j MARK --set-mark 1 COMMIT # Completed on Sun May 26 07:35:13 2024 # Generated by iptables-save v1.8.10 (nf_tables) on Sun May 26 07:35:13 2024 *filter :INPUT ACCEPT [47464985:94663961243] :FORWARD ACCEPT [89903:8730876] :OUTPUT ACCEPT [40534420:96091009174] :DOCKER - [0:0] :DOCKER-ISOLATION-STAGE-1 - [0:0] :DOCKER-ISOLATION-STAGE-2 - [0:0] :DOCKER-USER - [0:0] -A FORWARD -j DOCKER-USER -A FORWARD -j DOCKER-ISOLATION-STAGE-1 -A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD -o docker0 -j DOCKER -A FORWARD -i docker0 ! -o docker0 -j ACCEPT -A FORWARD -i docker0 -o docker0 -j ACCEPT -A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2 -A DOCKER-ISOLATION-STAGE-1 -j RETURN -A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP -A DOCKER-ISOLATION-STAGE-2 -j RETURN -A DOCKER-USER -j RETURN COMMIT # Completed on Sun May 26 07:35:13 2024 # Generated by iptables-save v1.8.10 (nf_tables) on Sun May 26 07:35:13 2024 *nat :PREROUTING ACCEPT [653605:112402271] :INPUT ACCEPT [463059:49309506] :OUTPUT ACCEPT [701626:54916380] :POSTROUTING ACCEPT [348272:27059931] :DOCKER - [0:0] -A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER -A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER -A POSTROUTING -s 192.168.239.0/24 ! -d 192.168.239.0/24 -o eth0 -j MASQUERADE -A POSTROUTING -s 192.168.240.0/24 ! -o wg1 -j MASQUERADE -A DOCKER -i docker0 -j RETURN COMMIT # Completed on Sun May 26 07:35:13 2024 目前尚无回复
Select Language