Исправление zaz, (текущая версия) :
Я думаю что проблема в том что в момент установки соединения правило --ctstate NEW срабатывает как для первого запроса (SYN) так и для первого ответа (SYN+ACK) вот метка и переустонавливается.
Можно попробовать поработать с флагами вместо cstate или просто ставить метку только если метка еще не установлена:
-m mark --mark 0
Исходная версия zaz, :
Я думаю что проблема в том что в момент установки соединения правило --сыефеу NEW срабатывает как для первого запроса (SYN) так и для первого ответа (SYN+ACK) вот метка и переустонавливается.
Можно попробовать поработать с флагами вместо cstate или просто ставить метку только если метка еще не установлена:
-m mark --mark 0