Na ar paketui lįst į tunelį ar varyt į internetą per NAT galima 
identifikuoti tik pagal destination adresą (IMHO)
Strongswan po debian nesiūlo man jokių atskirų /dev/aisu, arba nematau. 
kaip jis ten juos susirūšiuoja man kol kad mistika... :)
Matyt todėl ir nesugalvoju kaip man prieš MASQUERADE taisyklę pasakyt, 
kad jie skirti ipsec'ui. Va tas markinimas man užkliuvo, bet kolkas be 
vaisių. Ar įmanoma padaryt taip, kad MASQUERADE darytų paketams tik be 
tam tikro marko?

ejs wrote:
> lingus rašė:
>> reikia excludint kai kurios destination networkus, nes į juos 
>> patenkama per ipsec tunelį. Kol buvo keli panašūs subnetai:
>> 192.168.40.0
>> 192.168.46.0
>> 192.168.49.0
>> 192.168.80.0
>> tai veikdavo toks bajeris:
>> iptables -t nat -A POSTROUTING -d ! 192.168.0.0/16 -o $TEO -j MASQUERADE
>>
>> bet dabar reikia pridėt prie šito džiaugsmo 10.25.222.0/29
>> ir nesugalvoju kaip excludint pagal multiple dest, visi patarimai 
>> laukiami :)
> 
> 
> o tai tokie paketai ateina?
> Jei routingas teisingas (subnet'ai siunčiami per ipsec, kuris yra 
> atskiras /dev/aisas), tai paketas į 10.25.222.0/29 IMHO neturėtų eiti 
> per '-o $TEO' ?
>  Gal dar su MARK galima pažaisti?