Trochu nechapu, ale pokusim se.

Predevsim si uvedom, ze na paketu je vzdy POSLEDNI mark => zalezi na poradi tech pravidel v iptables, coz z toho neni jasny. Predpokladam teda, ze ty pravidla jsou za sebou tak, jak si to navkladal.

A)
Kód:
/sbin/iptables -t mangle -A FORWARD -d 10.0.0.0/8 -o eth0 -j ACCEPT
/sbin/iptables -t mangle -A POSTROUTING -s 10.0.0.0/8 -o eth1 -j ACCEPT
Toto je blbost, patri to do filter, FORWARD + OUTPUT + INPUT (kdyz uz).

B) ted znackujes dle IP, ale dal bych to komplet do FORWARD, POSTROUTING netreba. Ono, mezi nami, markovat prichozi traffic je <>ina, jelikoz tu ip znas a muzes ji napsat rovnou do shapovacich pravidel. Jen tim v tomhle pripade zbytecne zatezujes CPU.

C) mno a tady mas to markovani pred routovanim => to je prvni mark na paketu => pokud paket vyhovi jeste nejakymu dalsimu pravidlu (jako ze asi neznamy IP by se v siti moc vyskytovat nemely => urcite vyhovi), tak se mark zmeni !