super, tik teko mark 1 kelt į priekį ir keli sintaksės nesklandumai, dar 
kart dėkui ;)

ejs wrote:
> lingus rašė:
>> Na ar paketui lįst į tunelį ar varyt į internetą per NAT galima 
>> identifikuoti tik pagal destination adresą (IMHO)
>> Strongswan po debian nesiūlo man jokių atskirų /dev/aisu, arba 
>> nematau. kaip jis ten juos susirūšiuoja man kol kad mistika... :)
> 
> ifconfig ?
> http://www.linux-magazin.de/Heft-Abo/Ausgaben/2006/08/Doppelnase
> 
> 
>> Matyt todėl ir nesugalvoju kaip man prieš MASQUERADE taisyklę pasakyt, 
>> kad jie skirti ipsec'ui. Va tas markinimas man užkliuvo, bet kolkas be 
>> vaisių. Ar įmanoma padaryt taip, kad MASQUERADE darytų paketams tik be 
>> tam tikro marko?
> 
> iptables -t mangle -A PREROUTING -d 192.168.40.0 -j MARK --set-mark 2
> ...
> iptables -t mangle -A PREROUTING -d 10.25.222.0/29 -j MARK --set-mark 2
> iptables -t mangle -A PREROUTING -j MARK --set-mark 1
> ...
> iptables -t nat -A POSTROUTING -m mark 1 -j MASQUERADE
> 
> teoriškai taip, praktiškai reiktų galvot šviežia galva.