Есть вот такая строчка в файрволле:
iptables -t nat -A POSTROUTING -d 1.2.3.4 -p udp --dport 1234 -j SNAT --to-source 5.6.7.8
Все нормально маскарадит, но иногда возникает потребность переделать маскарад, чтобы было "--to-source 9.10.11.12", то бишь через другого провайдера. Ладно, удаляю запись, задаю новую, с "--to-source 9.10.11.12", но через новую запись начинают маскарадиться только новые соединения (в контексте маскарада можно говорить о соединениях udp). Старые соединения продолжают работать от "--to-source 5.6.7.8".
Посмотрел в /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream, 3 минуты. Проверил. Если клиента вырубить на несколько минут, а потом включить, то он начинает работать через новый маскарад.
Можно конечно таймер уменьшить и подождать, но это подействует на все соединения, а хочется выборочно отваливать такие соединения. Есть ли такая возможность в iptables или в ядре (в /proc ничего похожего не нашел)? Ядро монолитное, 2.4.* какое-то последнее, iptables v1.2.11.