Давай разберём команду по частям:
iptables -t mangle -A PREROUTING -m set –match-set vpn_sites dst -j MARK –set-mark 42
1. iptables
Это утилита для управления таблицами и правилами фильтрации/маркировки пакетов в Linux.
2. -t mangle
-t указывает, с какой таблицей работать.
Таблица mangle используется для изменения пакетов, например: маркировка, изменение TOS/TTL, CONNMARK и т.д.
Другие таблицы:
filter — фильтрация (INPUT, OUTPUT, FORWARD)
nat — трансляция адресов (DNAT/SNAT)
raw — обход соединений для трекинга
security — для SELinux/маркировки безопасности
3. -A PREROUTING
-A = append, т.е. добавить правило в конец цепочки.
PREROUTING — цепочка, куда попадают пакеты сразу после поступления в интерфейс, до маршрутизации.
4. -m set –match-set vpn_sites dst
-m set — подключение модуля set (ipset).
–match-set vpn_sites dst — проверка, что адрес назначения (dst) пакета есть в ipset с именем vpn_sites.
Т.е. правило срабатывает только для пакетов к адресам из этого списка.
5. -j MARK –set-mark 42
-j = jump, т.е. действие, которое выполняется, если условие совпало.
MARK — цель (target), позволяет поставить метку пакету.
–set-mark 42 — ставит числовую метку 42.
Метки могут использоваться для policy routing (ip rule + ip route), iptables-коннекшен, QoS и др.