请问如何理解文档中透明代理的mark？

[WROIATE]

正在尝试通过nftables在路由器上配置透明代理，参考Hysteria2的文档，发现在tproxy的同时会打上mark

meta l4proto $TPROXY_L4PROTO counter tproxy to :$HYSTERIA_TPROXY_PORT meta mark set $TPROXY_MARK accept

不太明白这个地方的mark作用是什么，tproxy之后包应该是直接发给了本地端口？这个地方的标记作用是什么呢？包还会继续在链中走吗？
类似的还有

meta l4proto $TPROXY_L4PROTO socket transparent 1 counter mark set $TPROXY_MARK

查了半天nftables文档还是没有头绪（可能看man不太理解一些规则），希望有熟悉防火墙的朋友能解答下🫠

[haruue]

在 iptables 中， 仅匹配 TPROXY target 之后包并不会发给本地端口， mark 的作用是匹配 ip rule：

# IPv4
ip rule add fwmark 0x1 lookup 100
ip route add local default dev lo table 100

# IPv6
ip -6 rule add fwmark 0x1 lookup 100
ip -6 route add local default dev lo table 100

https://hysteria.network/zh/docs/advanced/TPROXY/#_3

另请参阅 TPROXY 的手册：

--tproxy-mark value[/mask]
Marks packets with the given value/mask. The fwmark value set here can be used by advanced routing. (Required for transparent proxying to work: otherwise these packets will get forwarded, which is probably not what you want.)

https://man.archlinux.org/man/iptables-extensions.8#TPROXY

至于 nftables 中的类似规则， 我没有研究其具体实现， 仅仅是将 iptables 版本的规则 port 到了 nftables 上。 如果您发现不需要某些规则也能工作， 欢迎为我们提交 PR 。

[WROIATE]

谢谢回复 :-)
我这边再去看下这几个文档