Ne možeš tako. Jedan paket ne zna kolika je dužina svih paketa jedne konekcije. Dakle, moraš da markiraš konekciju pa onda markiraš pakete te konekcije.

OK, dao sam loš primer. Ajde uopšteno u prvom pravilu markiram saobraćaj na jedan web server (po njrgovoj IP adresi) dok u drugom pravilu markiram sav saobraćaj na dst port 80. Da li će se paketi na taj web server markirati po prvom ili drugom pravilu?

evo ja sam malo testirao, i dosao do sljedeceg zakljucka:
ako napravimo 2 mangle pravila, i jednim markiramo konekcije po dst adresi (nekog sajta), a drugim pravilom markiramo konekcije po dst portu (port 80), dobijemo sljedece:
1) ako je pravilo kojem markiramo po dst adresi iznad pravila kojim markiramo po dst portu, oba pravila rade, tj. oba markiraju jednu te istu konekciju (bez obzira na status passtrough parametra)
2) ako pravilo kojim markiramo po dst portu, stavimo iznad pravila kojim markiramo po dst adresi onda imamo 2 slucaja:
2.a) ako na prvom pravilu (kojim markiramo po dst portu) iskljucimo kvacicu na passtrough, onda samo to pravilo hvata konekciju, dok ono pravilo kojim markiramo po dst adresi ne hvata nista
2.b) ako na prvim pravilu ukljucimo kvacicu na passtrough, onda i prvo i drugo pravilo hvataju konekciju.

Super, HVALA.