Hello!

Есть ip4ip6 тоннель вида:

ip -6 tunnel add <if_name> mode ip4ip6 local <local_ipv6> remote <remote_ipv6>

Тоннель используется для того, чтобы гонять IPv4 трафик в IPv6-only сети для приложения, которое не умеет IPv6. Хочется в зависимости от IPv4 dst port навешать на IPv6(!) пакет метку, чтобы в дальнейшем обработать пакет в IPSec политиках (ip xfrm policy). Т.е. условно что-то типа:

-p tcp -s <src_ipv6> -d <dst_ipv6> -m ipv6-next-header --header ipip --ipip_dport <ipv4_dst_port> -j MARK

Гугление без необходимости установки каких-то модулей для DPI ничего не дало. Я не там ищу, или хочу очень странного и все нужно делать не так?