Пара комментариев по вашим правилам:
1) Метить пакеты для iproute в POSTROUTING - бестолковое занятие
2) Ваши правила всегда устанавливают метку 0x3
Ну и судя по тому, что вы написали в комментарии, CONNMARK вы для себя еще не открыли
Контексты для voicemail - это что-то вроде пространств имен для ящиков. Если у вас нет необходимости иметь несколько ящиков с одинаковым номером для разных целей (тогда понадобится несколько контекстов), то я не вижу разницы, как обозвать единственный контекст
Но с SYN-пакетом все равно надо определяться сразу, натить его или нет, т.к. если натить соединение «из середины», то ничего хорошего из этого не получится
Не используйте адрес 1.0 =) Это специальный адрес (адрес сети). Так же как и 1.255 (широковещательный). Используйте любой другой свободный из диапазона 1.1 — 1.254. Если у вас роутер 1.1 натит в инет всю сеть 1.0, то можете избавиться от второго интерфейса в режиме нат
Ну значит Вы все-таки настроили сеть в режим моста. Просто адресом 56.1 сбили меня с толку. Дайте Debian адрес из сети 192.168.1.0 и пропишите ему гейтом 1.1
1) Метить пакеты для iproute в POSTROUTING - бестолковое занятие
2) Ваши правила всегда устанавливают метку 0x3
Ну и судя по тому, что вы написали в комментарии, CONNMARK вы для себя еще не открыли