Перенаправление пакетов на интерфейс в iproute

Входящий пакет прилетит сначала в PREROUTING, затем в INPUT. Гугли диаграмму packet flow, так понятнее.

мне надо чтобы трафик, исходящий из моего почтового сервера на порты 25, 465, 587, шел на интерфейс xray0

Добавь маршрут до сервера (IP адресе) по которому идёт подключение до xray0 и возможно для своего IP через шлюз, а потом замени маршрут по умолчанию на IP адрес шлюза за xray0.

Ну так я не знаю до какого идет. кто знает кому мне придет в голову написать сообщение, на Gmail или mail.ru или еще куда-то… или я не правильно понял? чето я уже думаю сделать бы как-то по-другому, пока не представляю какие методы туннелирования есть. показалось что интерфейс это самое простое, но вот хз. с прокси пока не понял как иметь дело.

это в каком случае? если он идет из почтового сервера, то, как я понимаю, он идет сначала в OUTPUT, а потом в POSTROUTING, а потом в PREROUTING, А потом в INPUT. но пока все равно не совсем понятно, если пакет исходящий из моего почтовика, он направляется на ip адрес какой-то глобальный. то есть мне надо пометить его когда он в output находится по идее. ну а дальше то его уже xray пакует в тоннель. окей, ответ пришел от xray, попал в prerouting, в input…. и что мне это даёт… мне надо чтобы почтовый сервер думал что он установил исходящее соединение с сервером gmail например, но отправил он пакет на ip адрес gmail, а получил…. а поличил толи с 127.0.0.1, толи оттуда же, я пока не понял. но скорее со 172.0.0.1, потому что ответ то выходит из xray, который на 127.0.0.1 сидит по идее. мб использовать CONNMARK?? кстати я только что подумал, ведь если пакет ушел в xray0, то прийти ответ тоже оттуда же должен??? ну сто процентов так должно быть. тогда это просто. это же исходящее соединение, но в рамках соединения могут приходить и ответы. если пакет приходит отбратно из xray0 и там адрес источника указан тот же, на который мы отправляли, то есть и ядро и почтовик будут видеть что это покет из того же самого соединения, то тогда вообще большинство вопросов снимаются.

Так а вообще не понятно, что ты и зачем хочешь.

Ты пришёл сразу с вопросом как тебе сделать именно вот это.

Пакеты из исходящей цепочки (OUTPUT) никогда не попадают в PREROUTING.

ну, так «именно вот это» я и хочу. перенаправить все в интерфейс.

ну, я думал он уходит с lo в output и postrouting, а потом входит в prerouting и input и идет в xray0 например. или он в forward ваще идет?

Ты сейчас про какой из хостов? На том где у тебя почтовый сервер нет никакого forward. Пакет в сеть уходит через output, а из сети приходит через input

Нет, до принятия решения о маршрутизации локальный исходящий трафик вообще никуда не ходит, и даже не имеет исходящего IP адреса.
lo не обязательная сущность, для работы в Интернете она не нужна, и присутствует только для того, чтобы с программами, рассчитанными на работу в сети можно было работать на локалхосте без сети.

короче, сделал я вот как:

iptables -t mangle -A OUTPUT -d 127.0.0.0/8 -j ACCEPT
iptables -t mangle -A OUTPUT -d 192.168.0.0/16 -j ACCEPT 
iptables -t mangle -A OUTPUT -p tcp -m multiport --dports 25,443,80 -j MARK --set-mark 2

ip route add default xray0 table 100
ip rule add fwmark 2 table 100

tcpdump показывает что пакеты идут. но curl -vL https://matrix.org выдаёт сначала connected to matrix.org, а потом SSL_ERROR_SYSCALL, но это уже совсем другая история.