我使用基于策略的路由UID,即具有特定UID的进程通过VPN强制/隧道。 这是根据这个链接进行分组标记完成的; 链接 。 这一切都在Debian Stretch(9)上。
其中一个通过VPN传输的进程(确定其plex)需要通过非VPN路由访问plex.tv服务器以启用“远程访问”
我已经在windows和Debian上做了这个,只需添加一个来自服务器的path – > plex.tv绕过VPN。 如果所有networkingstream量都通过VPN路由(即,上面讨论的基于策略的路由未启用),这将起作用。
当我启用基于策略的路由时,添加一个路由不起作用,我假设这是因为数据包被标记为UID,因此通过VPN路由(通过路由表)。
我曾经尝试和研究过许多想法,但没有任何工作。
1)是否有“取消标记”以前标记的数据包? 我试过这个,但无法find取消标记以前标记的数据包。 我想我可以取消标记与plex.tv(或其IP地址)通信的数据包,然后他们不会通过VPN。
2)我假设数据包和iptables的标记优先于指定的路线。 有没有办法使一个添加的路线优先于在iptables中指定的规则?
3)然后我尝试在iptables链的顶部添加一个iptables规则,它将接受与plex.tv的ip地址的通信。 我认为它可能符合这个规则并退出链条,但似乎仍然适用其余的规则。
4)我想可能与DNAT有什么关系? 但我没有足够的能力来解释如何创build这个规则。
有没有人阅读这些知识或知道的东西,将提供一个解决scheme。 任何援助将不胜感激。
H