lingus rašė: > Na ar paketui lįst į tunelį ar varyt į internetą per NAT galima > identifikuoti tik pagal destination adresą (IMHO) > Strongswan po debian nesiūlo man jokių atskirų /dev/aisu, arba nematau. > kaip jis ten juos susirūšiuoja man kol kad mistika... :) ifconfig ? http://www.linux-magazin.de/Heft-Abo/Ausgaben/2006/08/Doppelnase > Matyt todėl ir nesugalvoju kaip man prieš MASQUERADE taisyklę pasakyt, > kad jie skirti ipsec'ui. Va tas markinimas man užkliuvo, bet kolkas be > vaisių. Ar įmanoma padaryt taip, kad MASQUERADE darytų paketams tik be > tam tikro marko? iptables -t mangle -A PREROUTING -d 192.168.40.0 -j MARK --set-mark 2 .... iptables -t mangle -A PREROUTING -d 10.25.222.0/29 -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -j MARK --set-mark 1 .... iptables -t nat -A POSTROUTING -m mark 1 -j MASQUERADE teoriškai taip, praktiškai reiktų galvot šviežia galva. -- ejs