iptables設(shè)置mark后snat的一個詭異現(xiàn)象

loler_zuan

先簡單說說需求。兩個wan口，n個lan口，根據(jù)不同的協(xié)議進行不同的轉(zhuǎn)發(fā)。
我用的是clearos和layer7-user-space。
對每個數(shù)據(jù)包打標記8。如果標記8則轉(zhuǎn)發(fā)到wan1，否則轉(zhuǎn)發(fā)到wan2。
之后設(shè)置snat，如果標記8，snat的源地址改為wan1的地址。否則同理設(shè)置為wan2的。
感覺這樣設(shè)置沒問題了。但是出現(xiàn)了下面的情況。

上面的policy ACCEPT接受0個包，為什么下面的規(guī)則還有處理的數(shù)據(jù)包？

下面附上我的設(shè)置。  我的layer7給QQ協(xié)議打標記8，經(jīng)測試，這步肯定沒問題。
我的環(huán)境是用虛擬機搭建的。wan1和wan2其實都是局域網(wǎng)內(nèi)分配的，網(wǎng)管是192.168.72.254
我執(zhí)行了下面的腳本

#! /bin/sh
ip route add table 8 via 192.168.72.254 dev eth1 #這個是wan2，對應(yīng)的IP是192.168.72.106
ip route add table 10 via 192.168.72.254 dev eth0 #這個是wan1，對應(yīng)的IP是192.168.72.103
iptables -F
iptables -t mangle -A PREROUTING -s 192.168.164.0/24 -j NFQUEUE
iptables -t mangle -A PREROUTING -d 192.168.164.0/24 -j NFQUEUE #這兩步是為了layer在用戶態(tài)可以執(zhí)行，這步設(shè)置沒問題

iptables -t nat -A POSTROUTING -m mark ! --mark 8 -j SNAT --to-source 192.168.72.103
iptables -t nat -A POSTROUTING -m mark --mark 8 -j SNAT --to-source 192.168.72.106

跟蹤各個規(guī)則，發(fā)現(xiàn)在POSTROUTING的mangle點的hook函數(shù)中，還可以檢測到被標記的數(shù)據(jù)包。
到下一個hook函數(shù)，也就是nat表中的函數(shù)，就檢測不到了。
出現(xiàn)了上面圖片的結(jié)果。
這什么情況啊？完全沒頭緒