доброго времени суток комрады.
Раньше всегда обходился стандартными правилами iptables accept drop reject maquerade и прочее все остальное делал через route или 2iproute.
От буквально вчера столкнулся с такой штукой как маркировка пакетов и пока еще не до конца вьехал как реализовать данную задачу.
Допустим есть некий трафик который ходит по 443 порту допустим на ресурс
https://mydomen.ru и есть подсеть 172.16.0.0/24 так вот
нужно для этой подсети открыть доступ только на ресурс
https://mydomen.ru по порту 443, а весь остальной трафик который идет по 443 порту отправлять на сервер авторизации 172.16.0.1
Пока дошел только до таких правил весь маркированный трафик 99 по порту 80 и 443 отправляется на сервер 172.16.0.1
$IPT -N internet -t mangle
$IPT -t mangle -A PREROUTING -j internet
$IPT -t mangle -A internet -j MARK --set-mark 99
$IPT -t nat -A PREROUTING -m mark --mark 99 -p tcp --dport 80 -j DNAT --to-destination 172.16.0.1
$IPT -t nat -A PREROUTING -m mark --mark 99 -p tcp --dport 443 -j DNAT --to-destination 172.16.0.1:443
А остальное пока не додумал как сделать. Предполагаю что будет что-то вроде
$IPT -N localnet -t mangle
$IPT -t mangle -A PREROUTING -j localnet
$IPT -t mangle -A localnet -j MARK --set-mark 100
$IPT -t mangle -A localnet -p tcp -s mydomen.ru --dport 443 а что дальше без понятия