Добрый день!
Коллеги, а кто-нибудь понимает реализацию цепочки xkeen_mask?
Архитектурно это должно быть проксирование хоста (роутера), но есть пару вопросов
1. Одним из условий перехода в xkeen_mask из OUTPUT является -m owner '!' --uid-owner xkeen
Но uid xkeen = uid root = 0, следовательно в xkeen_mask пойдет все, что не root или не имеет uid (у меня это весь исходящий WG трафик). Мне казалось, что здесь надо отсекать пакеты самого xray. А это скорее проверка на gid
2. В xkeen_mask правило -j CONNMARK --set-mark 0x111 не меняет маршрутизацию пакета. У меня просто все соединения WG радостно получают connmark=273 (0x111) и все. Других проявлений работы этого правила я не нашел.
3. По факту, трафик самого роутера не проксируется (хотя не очень понятно зачем?)
Буд благодарен, если кто пояснит, что делает цепочка xkeen_mask
И для каких целей имеет смысл проксировать трафика роутера
