すでにチェーンでnet_cls(ネットワーク分類子)cgroupを使用しています。使用しようとすると、次のエラーが発生します。/sys/fs/cgroup/net_clsPOSTROUTINGPREROUTING
[2514253.432875] x_tables: ip_tables: cgroup match: used from hooks REROUTING, but only valid from INPUT/OUTPUT/POSTROUTING
なぜcgroup matchが利用できないのか知っていますかPREROUTING?解決策はありますか?
ベストアンサー1
外部ネットワークインターフェイスからのすべての着信パケットは、プロセスに接続する前にPREROUTINGチェーンを通過します(最終的にプロセスに触れることなく転送できます)。したがって、cgroupこれらのパケットにはどの情報も接続できません。
情報がINPUTチェーン(プロセスから読み取られる)、OUTPUTチェーン(プロセスで作成)、またはOUTPUTチェーンの後ろにあるPOSTROUTINGチェーンを通過するときにのみ、パケットとcgroup情報をリンクできます。
解決しようとしている実際の問題に関する情報が含まれていないため(これはXYの問題)、回避策(または正しい解決策)を提案することはできません。