SSLHの透過モードはどのように機能しますか？

ポート443でTCP接続を受け入れ、接続がOpenVPNクライアントかHTTPSクライアントであることを確認し、それを自分のWebサーバーまたはOpenVPNサーバーに転送する必要があるサーバーがあります。

SSLHはこの目的のために特別に設計されており、非常にうまく機能しているようです。唯一の問題は、不透明モードに設定しても問題はありませんが、透明モードを使用すると問題が発生することです。

透過モードがどのように機能するかについての理論を説明できる人はいますか？

これSSLHガイドでは、SSLHを透過的に使用するために、以下を行う必要があります。

• sslh.cfgを次のように設定します。transparent: true;
  • 私はすでにこれをしました
• SSLHには拡張権限（CAP_NET_ADMIN）が必要です。
  • systemd用sslh.serviceに付属のCentOS 7リポジトリにsslhをインストールしました。サービスファイルには行が含まれているCapabilityBoundingSet=... CAP_NET_ADMIN ...ため、SystemDですでに実行されているとします。
• パケットと一種のローカルルーティングを表示するためのiptablesルールを設定します。
  • これはよくわかりません。 SSLHサーバーに設定されていますか？それともOpenVPNとHTTPSサーバーに設定しますか？

例では、iptablesはソースポートが22または4443のすべてのパケットを0x1タグとしてマークし、0x1タグを持つすべてのパケットがルートテーブル100を使用するようにルールを作成し、ルートテーブル100を作成して一部を設定するように指示します受け取ったことを理解しています。ある種の特定のタスクを実行するローカルパスです。

これらのiptablesルールとルーティングが必要なのはなぜですか？実際、パスは何をしていますか？私はルーティングがWebサーバーとOpenVPNサーバーになければならず、SSLH IPを指すべきだと思いましたが、それも私にとってはうまくいかないようです。

===

更新：例では、サーバーはすべて同じシステム上にあり、実際のサーバーからの応答パケットが離れる前にSSLHシステムを通過したいので、これがlocalhostへのパスである可能性があると思いました。そうだと思いますか？それでは、サーバーが別のコンピューターにある場合はどうすればよいですか？このシステムからSSLHサーバーへのトラフィックの表示とルーティングをリセットしますか？

アップデート2：SSLHと同じマシンにHTTPSサーバーをすばやく設定しましたが、透過モードはSSLHドキュメントの例のように動作するようです。別のサーバーにいるときに機能するにはこれが必要です。