Názor k článku HTB - jemný úvod od Martin Cizek - Jen upresnim to filtrovani podle cilove adresy prichozich...

Jen upresnim to filtrovani podle cilove adresy prichozich packetu - to samozrejme jde, problem, o kterem mluvite, zrejme spocival v tom, ze jste pouzival SNAT, a rozliseni neslo udelat, neb v dobe, kdy se udelat melo, jeste nebyla cilova adresa prichoziho packetu prepsana na puvodni zdrojovou dane konexe.
Toto lze obejit pomoci modulu iptables connmark, kterym lze konexim prirazovat identifikatory, nebo (primocareji) modulem conntrack, kterym lze matchovat kteroukoliv polozku v tabulce ip conntracku (jde o zobecneni znameho matche 'state', ktery umi rozhodovat pouze podle toho, zda zaznam je NEW, ESTABLISHED apod.)