我的问题与仅允许某些接口上的某些出站流量基本相同。
我有两个接口eth1(10.0.0.2) 和wlan0(192.168.0.2)。我的默认路由是eth1. 假设我希望所有 https 流量都通过wlan0。现在,如果我使用另一个问题中建议的解决方案,https 流量将通过wlan0,但源地址仍为eth1(10.0.0.2)。由于此地址对于wlan0网关不可路由,因此永远不会返回答案。简单的方法是在应用程序中正确设置 bind-addr,但在这种情况下它不适用。
我想我需要重写 src-addr:
# first mark it so that iproute can route it through wlan0
iptables -A OUTPUT -t mangle -o eth1 -p tcp --dport 443 -j MARK --set-mark 1
# now rewrite the src-addr
iptables -A POSTROUTING -t nat -o wlan0 -p tcp --dport 443 -j SNAT --to 192.168.0.2
现在 tcpdump 看到传出的数据包很好,传入的数据包到达 192.168.0.2,但是它们可能永远不会在应用程序中结束,因为我所看到的是应用程序正在重新发送 SYN 数据包,尽管 SYN-已经收到 …