Chupaka
Silver Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Fuji connection_mark автоматически сохраняется для всех последующих пакетов, принадлежащих соединению. говорят, что, поскольку все пакеты в любом случае проходят через Connection Tracking, по ресурсам выгоднее в дальнейшем работать с уже имеющейся connection_mark, чем заново обрабатывать все условия для выделения нужных пакетов также, пометив исходящий пакет подключения, автоматом получаем такую же метку на входящих пакетах этого подключения, и при использовании src-NAT можем детектировать приходящие пакеты ещё в prerouting, когда там не видно адреса пользователя в dst-address а в целом, если запас по ресурсам есть и (не нужно | не хочется) сложных схем - вполне можно использовать сразу mark-packet в chain=forward. отработает "на ура" |