История изменений
Исправление Pinkbyte, (текущая версия) :
Можно тебя попросить чуть подробнее пояснить, как это работает и почему это работает?
Всё очень просто - в кишках ядра(тут я не спец, точный атрибут не скажу) incoming device считается в том числе и для ответных пакетов(логично же, что в ответных пакетах будет заполняться явно поле для outgoing device, да? ну так вот фича в том, что incoming при этом не сбрасывается)
Да, всё так :) Я очень хочу всё-таки в конечном итоге сделать туннель не до самой машины, а до моего же роутера (который уже за провайдерским NAT’ом), поскольку «сама машина» это на самом деле не одна машина, а пачка ВМ-ок в бридже.
Ну тогда запотеть придется изрядно. DNAT на PBR-aware устройствах - это веселье.
Тогда имеет смысл не заморачиваться с iif, а сразу хреначить маркировку пакетов на входе через CONNMARK. И в ip rule уже вставлять правила с fwmark
Исходная версия Pinkbyte, :
Можно тебя попросить чуть подробнее пояснить, как это работает и почему это работает?
Всё очень просто - в кишках ядра(тут я не спец, точный атрибут не скажу) incoming device считается в том числе и для ответных пакетов(логично же, что в ответных пакетах будет заполняться явно поле для outgoing device, да? ну так вот фича в том, что incoming при этом не сбрасывается)
Да, всё так :) Я очень хочу всё-таки в конечном итоге сделать туннель не до самой машины, а до моего же роутера (который уже за провайдерским NAT’ом), поскольку «сама машина» это на самом деле не одна машина, а пачка ВМ-ок в бридже.
Ну тогда запотеть придется изрядно. DNAT на PBR-aware устройствах - это веселье.
Тогда имеет смысл не заморачиваться с iif, а сразу хреначить маркировку пакетов на входе.