看起来你在拦截NTP响应包这件事上踩了几个典型的坑，我来帮你理理问题出在哪，以及该怎么调整方案。

首先得明确几个核心问题，解释下你之前的尝试为什么没生效：

• 你一开始用iptables规则？别搞错了，pfSense底层用的是pf防火墙，不是iptables，所以你写的iptables规则在这完全不生效，这是第一个误区。
• 改网关到OVS没成功，是因为pfSense作为状态防火墙，会跟踪所有已建立的会话（比如你的NTP请求发出去后，就会生成一个会话条目），后续的响应包属于这个已建立会话的一部分，会直接走状态跟踪的快速路径，跳过你配置的转发/过滤规则，自然不会被OVS拦截。
• 你加的NAT规则没生效，大概率是规则的匹配条件不对或者顺序太靠后——pfSense的NAT规则是按从上到下的顺序匹配的，如果你的规则排在默认的状态跟踪规则后面，根本轮不到它生效。

接下来给你几个具体的可行方案，按优先级排序：

方案一：用pf的标记+NAT规则优先匹配 #

这是最稳妥的方法，核心是先标记NTP响应包，再让重定向规则优先匹配标记后的包：

1. 标记NTP响应包：
   进入防火墙>规则>对应接口（比如WAN接口，因为NTP响应一般从WAN进来），新建一条规则：
   • 协议选UDP
   • 源端口填123（NTP服务的固定端口）
   • 动作选择标记，自定义一个标记名比如ntp_response
   • 把这条规则拖到最顶部，确保优先匹配
2. 配置NAT重定向：
   进入防火墙>NAT>端口转发，新建规则：
   • 接口选你刚才设置规则的那个接口（比如WAN）
   • 协议选UDP
   • 源端口填123
   • 目标IP/端口设置为你要重定向到的NetfilterQueue所在主机的地址和端口
   • 切换到高级选项，找到匹配标记，填入你刚才设置的ntp_response
   • 同样把这条NAT规则拖到最顶部，确保优先于其他NAT规则

方案二：绕过状态跟踪的快速路径 #

如果方案一没生效，可能是状态跟踪的快速路径还是抢了先，那可以针对NTP响应包禁用状态跟踪：
在刚才的标记规则的高级选项里，勾选禁用状态跟踪，这样这个流的包就不会走快速路径，会老老实实经过所有规则匹配。不过注意，这个操作只针对NTP响应包，别全局禁用，不然会影响防火墙性能。

测试验证 #

配置完后，你可以在pfSense的命令行里用tcpdump抓包验证：

tcpdump -i your_interface udp port 123

看看NTP响应包的目标地址是不是已经被重定向到你指定的地址了。

备注：内容来源于stack exchange，提问作者leoposc