Вы про какие IPMARK/IPCLASSIFY говорите? Если про те, что в iptables
"-j CLASSIFY --set-class MAJOR:MINOR" и "-j MARK --set-mark value",
то что значит "которые читают только..."? Они ничего не читают,
"читает" iptables посредством разных модулей, у которых есть
возможность фильтровать не только "IP источника или назначения", а
так же по MAC адресам, оригинальным адресам (до/после работы
SNAT/DNAT), протоколам, портам, портам моста, PID'у локальной
программы, состоянию conntrack и многим другим критериям.