DHCP(iface eth0 172.5.1.1/24)가 있는 서버는 openvpn 터널(iface tun0 10.8.1.6)을 통해 LAN 클라이언트에 인터넷을 제공합니다. 정확한 LAN 클라이언트의 TCP 연결에 태그를 지정해야 합니다(예: 172.5.1.123).
iptables -I FORWARD -m conntrack --ctorigsrc 172.5.1.123 --ctproto tcp -j CONNMARK --set-mark 123
서버 172.5.1.1에서 명령을 실행하면 conntrack -L --mark 123소스 172.5.1.123의 모든 TCP 연결을 볼 수 있습니다.
문제는 VPN 서버의 터널 인터페이스 10.8.1.1의 소스 IP 172.5.1.123에서 연결 태그를 캡처하는 방법입니다.
답변1
iptables 태그를 사용하여 일치시키세요.
iptables -I FORWARD -m conntrack --ctorigsrc 172.5.1.123 --ctproto tcp -j MARK --set-mark 123
iptables -A PREROUTING -t mangle -m mark --mark 123 -j LOG