После применения правила, маскарадинг срабатывает только для новых соединений. Те соединения, которые успели послать пару пакетиков до применения маскарада(возьмем к примеру даже пинг) - продолжают щимиться в интерфейс без маскарада :(
проверено, что дело сто процентов в conntrack. оно и логично, потому что в первоисточнике написано, что натятся только первые пакеты (т.е. пока state = NEW)
Вот если бы одним разом сбросить состояние всех соединений в NEW..
Видел в интернетах грязный хак: прописать в /proc таймауты conntrack в 0, применить правила, а потом вернуть таймауты на место...
Но я верю, что должен быть более стандартный способ.
Может кто подскажет?
Спасибо.