Заставьте пакет войти в сетевой фильтр после прохождения пары veth в том же пространстве имен.

Vethпозиционируется как метафора элементарной внешней сети Ethernet с двумя сетевыми адаптерами, подключенными к одному хосту. Это заставляет меня предположить, что после того, как пакет отфильтрован, маршрутизирован, отправлен через vethи повторно входит с другой стороны, он должен рассматриваться как новый пакет из внешнего мира и снова проходить через все соответствующие правила сетевого фильтра.

Это происходит только тогда, когда пара veth пересекает границу сетевого пространства имен (т. е. когда пакет не прошел через сетевой фильтр в текущем пространстве имен). Однако мой вариант использования включает в себя VRF, а не пространства имен, и в такой конфигурации я вообще не вижу, чтобы пакет попадал в стек netfilter после прохождения пары veth.

Мне нужно применить правило netfilter (NAT) после того, как пакет будет направлен в соответствующий VRF, и я не могу этого сделать.

Итак, мои вопросы:

1. Почему пакет, вышедший из ветки, не попадает в стек фильтрации?
2. Есть ли способ заставить это сделать?
3. Если ни одно из вышеперечисленных действий невозможно, каковы мои варианты?

Спасибо.