Para evitar que soquetes TCP originados localmente tenham essa mesma marca aplicada, atribuímos o IP à interface de loopback em vez de fishtun, deixando fishtun sem endereço atribuído.Ao rastrear pacotes originados do IP de um host de teste, poderíamos ver os pacotes entrarem na fase de pré-roteamento, mas desaparecerem após o bloco de “decisão de roteamento”.Em teoria, poderíamos continuar a usar iptables para esse propósito e, para suportar múltiplas combinações de IP/porta, poderíamos usar marcas de pacotes separadas ou vários dispositivos TUN.Porém, você não quer deixar as regras de roteamento sem nenhuma rota para a tabela “local”, caso perca um pacote ao manipular essas regras.Para pacotes IP, as decisões de roteamento podem ser armazenadas em cache e é realizada alguma validação básica de endereço.
