이미 체인에서 net_cls(네트워크 분류자) cgroup을 사용하고 있습니다. 사용하려고 하면 다음과 같은 오류가 발생합니다./sys/fs/cgroup/net_clsPOSTROUTINGPREROUTING
[2514253.432875] x_tables: ip_tables: cgroup match: used from hooks REROUTING, but only valid from INPUT/OUTPUT/POSTROUTING
왜 cgroup match를 사용할 수 없는지 아시나요 PREROUTING? 해결책이 있나요?
답변1
외부 네트워크 인터페이스에서 들어오는 모든 패킷은 프로세스와 연결되기 전에 PREROUTING 체인을 통과합니다(결국 프로세스를 건드리지 않고 전달될 수 있습니다). 따라서 cgroup이러한 패킷에는 어떤 정보도 연결할 수 없습니다 .
정보 가 INPUT 체인(프로세스에서 읽음), OUTPUT 체인(프로세스에서 작성) 또는 OUTPUT 체인 뒤의 POSTROUTING 체인을 통과할 때만 cgroup패킷과 정보를 연결할 수 있습니다.
해결하려는 실제 문제에 대한 정보를 포함하지 않았기 때문에(이는 이것이XY 문제), 해결 방법(또는 올바른 솔루션)을 제안할 수 없습니다.