Спасибо за Ваше внимание!
Очень понравилась идея с маркировкой - буду пробовать.
Но все же - относительно того, что написал я. А если обрубать еще и форвардинг из внехи, такой вариант имеет право на жизнь? Или без маркировки пакетов точно не обойтись?
Без маркировки можно легко обойтись.
Используя что-то типа
iptables -P FORWARD DROP
if [ -f /etc/tsknet ]; then
for i in `cat /etc/tsknet`; do
iptables -A FORWARD -d $i -j ACCEPT
done
Я использовал маркировку, потому что было несколько правил которым нужно было по некоторым признакам (например, Томск/не-Томск) принимать решение пропускать пакеты или нет, чтобы не усложнять и не отягощять конфигурацию брандмауэра, я использовал маркировку, ее так же можно использовать в iproute2 для принятия решения о маршрутизации.
Еще раз повторю, что отсутствие правила SNAT не означает, что пакеты будут "обрубаться", установка соединения конечно будет не возможна, но потенциальная возможность засрать по ноздри исходящий канал у пользователя будет.
P.S. Кстати у меня там опечатка в [ -f /usr/local/etc/tsknet ], проверяется один файл, а используется другой... копировал, решил исправить и в условии забыл...