Доброго ВС! Возникли сложности в настройке iptables.
Ситуация такая: есть приложение, которое слушает порт 999, и разбирает приходящие заголовки tcp/ip...(напр redsocks; тоесть порт/адрес назначения менять нельзя). Хочу сделать так, чтобы это приложение обрабатывало только проходящие (FORWARD) пакеты. Я попытался сделать так: в mangle FORWARD ставлю метку (mark), а на nat POSTROUTING для всех отмеченых пакетов вызывал -j REDIRECT --to-ports 999, но редиректить можно только в цепочках PREROUTING и OUTPUT. Из этого следует, что для реализации такой системы нужно знать, что пакет уйдет в цепочку FORWARD, еще до того, как он покинул nat PREROUTING ? Для redsocks предлагается перенаправлять все пакеты из подсети на цепочке PREROUTING, что не очень подходит, если адрес сети каждый раз другой (dhcp) . Возможно я чтото упустил в манах.Буду благодарен за помощь.