В zapret/common/ipt.sh дописать строчку:
ipt_add_del $1 _NDM_MASQ -t nat -o $i -p udp -m mark --mark $DESYNC_MARK/$DESYNC_MARK -j MASQUERADE
Это точно рабочий вариант, уже давно так крутится на всех кинетиках. На основе этого сделал
_fw_nfqws_post4()
{
# $1 - 1 - add, 0 - del
# $2 - iptable filter for ipv4
# $3 - queue number
# $4 - wan interface names space separated
[ "$DISABLE_IPV4" = "1" -o -z "$2" ] || {
local i
ipt_print_op $1 "$2" "nfqws postrouting (qnum $3)"
rule="-m mark ! --mark $DESYNC_MARK/$DESYNC_MARK $2 $IPSET_EXCLUDE dst -j NFQUEUE --queue-num $3 --queue-bypass"
if [ -n "$4" ] ; then
for i in $4; do
ipt_add_del $1 POSTROUTING -t mangle -o $i $rule
ipt_add_del $1 _NDM_MASQ -t nat -o $i -p udp -m mark --mark $DESYNC_MARK/$DESYNC_MARK -j MASQUERADE
done
else
ipt_add_del $1 POSTROUTING -t mangle $rule
fi
}
}
P.S. кинетик дропает не родные правила в iptables поэтому нужно еще и в /opt/etc/ndm/netfilter.d правила дописать по zapret restart-fw