k A), urcite jo, tabulka mangle slouzi prave ke znackovani paketu a podobne, rozhodne ne k filtrovani provozu (tim netvrdim, ze to nefunguje).

Jakykoli filtrovani provozu (zajima te predevsim routovanej provoz) patri do filter FORWARD. Filtrovat neco v postrouting je navic uplnej nesmysl, ty to nejdriv odroutujes a teprve pak rozhodnes o tom, jestli to pustis dal ? Proto to patri do forward.

k B) ale kdeze, mas tam:

Kód:
iptables -t mangle -A FORWARD -d 10.0.0.0/8 -o eth0 -j ACCEPT
a pak
Kód:
iptables -t mangle -A POSTROUTING -d 10.30.255.254/32 -o eth1 -j MARK --set-mark 2094
iptables -t mangle -A POSTROUTING -d 10.30.255.254/32 -o eth1 -j ACCEPT
=> ty na FORWARDu akceptujes routovani na 10.x sit, ale pak jeste znackujes pakety podle IP po routovani. Jenze jak sem rek, ty tu IP muzes napsat primo do pravidel, protoze ji znas, nemeni se.

Kdezto pri odchozim provozu se IP meni => na shaper ti prijde paket, kterej ma jako source IP vnejsi (verejnou) adresu => nevic od koho ten paket je => proto si ho oznacis jeste pred NATem.

zkratka sem
Kód:
tc filter add dev eth0 parent 1:0 protocol ip handle 2094 fw flowid 1:2094
misto handle nacpes primo IP adresu.
Kód:
tc filter add dev eth0 parent 1:0 protocol ip u32 match ip dst 10.30.255.254 ...
usetris tim docela dost, pokud by tech IP melo byt desitky a mozna stovky, tak se to uz kua projevi.