lingus rašė:
> Na ar paketui lįst į tunelį ar varyt į internetą per NAT galima 
> identifikuoti tik pagal destination adresą (IMHO)
> Strongswan po debian nesiūlo man jokių atskirų /dev/aisu, arba nematau. 
> kaip jis ten juos susirūšiuoja man kol kad mistika... :)

ifconfig ?
http://www.linux-magazin.de/Heft-Abo/Ausgaben/2006/08/Doppelnase


> Matyt todėl ir nesugalvoju kaip man prieš MASQUERADE taisyklę pasakyt, 
> kad jie skirti ipsec'ui. Va tas markinimas man užkliuvo, bet kolkas be 
> vaisių. Ar įmanoma padaryt taip, kad MASQUERADE darytų paketams tik be 
> tam tikro marko?

iptables -t mangle -A PREROUTING -d 192.168.40.0 -j MARK --set-mark 2
....
iptables -t mangle -A PREROUTING -d 10.25.222.0/29 -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -j MARK --set-mark 1
....
iptables -t nat -A POSTROUTING -m mark 1 -j MASQUERADE

teoriškai taip, praktiškai reiktų galvot šviežia galva.
-- 
  ejs