iproute2 fwmark, маркировка пакетов в forward таблицы mangle.

iptables-save
ip rule
ip route (для всех таблиц)

Покажи вот это все сначала, потом думать будем

$!d' file , может на вектора понакладывать (в смысле на) исправить, так правильней «прочтение».

Посмотри внимательно на http://inai.de/images/nf-packet-flow.png

После mangle/prerouting идет nat, после которого возможен рероутинг пакета. prerouting говорит сам за себя - до маршрутизации. Рероутинг это дорогая (долгая) операция.

После mangle/forward уже нет смысла рероутить, т.к. уже менять что-либо поздно.

Есть еще одна попытка частичного рероутинга после output/mangle

Судя по твоей картинке, действительно, транзитные пакеты не попадают во второй блок routing decision. Но если смотреть по этой ссылке: http://www.iptables.ru/iptables.html, Таблица 1. Порядок движения транзитных пакетов, то решение о маршрутизации принимается дважды, пункты 5 и 8, а так же блок-схема ниже. Маркировать пакеты мне удобнее именно в mangle forward потому, как там известно, на какой интерфейс пакет будет с маршрутизирован (таких интерфейсов в системе 4-штуки), и, к примеру, если пакет согласно имеющемуся роутингу попадает на eth2, то проверяем dst-порты протокола tcp/udp, и нужные маркируем, а в ip rule перемаршрутизируем маркированные пакеты на другой интерфейс.

Удачи тебе :)

Посмотри лучше оригинал этого перевода.

С 2006 г. много времени прошло.

Спасибо, эксперименты и показывают, что та картинка, на которую ты дал ссылку истина. В оригинале перевода от 2006, только на рисунке отображено, что прохождение транзитного пакета через блок принятия решения о маршруте проходит дважды.