iptables и проблема политики маршрутизации источника

У меня есть служба, работающая в сетевом пространстве имен, и несколько правил iptables, чтобы выставить ее во внешний мир.

Следующие команды являются примером моей настройки:

sudo ip netns add ns1 sudo ip link add veth1_ type veth peer name veth1 sudo ip link set veth1_ netns ns1 sudo ip netns exec ns1 ifconfig veth1_ 192.168.0.2/24 up sudo ifconfig veth1 192.168.0.1/24 up sudo iptables -P FORWARD ACCEPT sudo iptables -t nat -A POSTROUTING -o veth1 -j MASQUERADE sudo iptables -t nat -A PREROUTING -p tcp -m tcp --dport 50000 -j DNAT --to-destination 192.168.0.2:8000 sudo ip netns exec ns1 netcat -l 8000 

Я могу получить доступ к сервису через порт: 50000, так что проблем пока нет.

Мне также нужно маршрутизировать пакеты, исходящие из этого пространства имен сети и идущие на определенный IP-адрес через специальный интерфейс, для этого я использую политику маршрутизации источника.

 sudo ip route add 172.23.23.23 via XXXX table 1000 sudo ip rule add from 192.168.0.2 iif veth1 to 172.23.23.23 lookup 1000 

Когда я пытаюсь получить доступ к сервису с хоста 172.23.23.23, он не работает, пока работает с любого другого хоста.

Мой вопрос: почему этот маршрут политики на основе источника влияет на трафик? Пакеты, поступающие в veth1, маскируются, поэтому ответ не должен соответствовать этим правилам. Мое рассуждение неверно?

Спасибо,