shurshur

iptables -m owner -h

Маркируем пакет от пользователя (-j MARK) и затем policy routing (ip rule add fwmark XXX lookup vpn) перекидываем в другую таблицу маршрутизации.

Какой демон? iptables это не демон. Этот сервис просто загружает сохранённые правила из файла при старте, а при остановке ничего не делает (либо очищает таблицы, в зависимости от настройки).

Чтобы сохранить текущие загруженные правила, надо просто вызвать netfilter-persistent save.

Если после перезагрузки в iptables -L есть нужные правила, то всё работает правильно.