Parece que este arquivamento de patentes da Microsoft do começo deste ano pode informar o que você deseja saber.
Pelo que consigo reunir, esse sinalizador permite que as regras de firewall se apliquem ao tráfego que foi encapsulado, por exemplo, por um túnel IPv6 para IPv4 originado fora da borda da rede. Como as patentes costumam ser, esta é escrita de uma maneira tão genérica que se aplica a qualquer tipo diferente de protocolo de tunelamento, pelo que eu posso dizer.
A carga útil desse tráfego encapsulado seria opaca para qualquer firewall na rede na outra extremidade do túnel. Presumivelmente, esses pacotes encapsulados seriam passados através de não filtrados para o host interno, onde a outra extremidade do túnel terminava. Esse host receberia o tráfego, passaria por seu próprio firewall, decapsularia o tráfego (se permitido por seu próprio firewall) e passaria os pacotes decapsulados de volta ao seu firewall. Quando o pacote viaja pelo firewall pela segunda vez (após o decapsulamento), ele tem um conjunto de bits "este pacote percorreu a borda da rede" de tal forma que somente as regras com o bit "transversal de travessia" também serão aplicadas ao pacote.
A Figura 4 desse pedido de patente parece descrever graficamente o processo, e a seção "Descrições Detalhadas", que começa na página 7, descreve o processo com detalhes dolorosamente específicos.
Isso basicamente permite que um firewall baseado em host tenha regras diferentes para o tráfego que veio através de um túnel através do firewall da rede local, em oposição ao tráfego que foi enviado sem encapsulamento por um túnel diretamente através do firewall da rede local. p>
Gostaria de saber se a funcionalidade "marca" do iptables seria a arte anterior a esta patente? Certamente parece que faz uma coisa muito similar, embora de uma maneira ainda mais genérica (já que você pode escrever código de usuário para "marcar" pacotes virtualmente por qualquer razão, se você quiser).