Сещам се един груб начин това ограничение да се преодолее и да се шейпва индивидуално изходящият трафик на всеки клиент зад НАТ-а, стига да не са много клиентите
'>
На НАТ-ващата машина вдигаш за всички клиенти по един alias с адрес, който се ползва като default gw от конкретен клиент с частен адрес. В последствие набиваш на машината нещо от сорта на:
ip route add client_address_N dev ethX:alias_N realm N
tc filter add dev ethX parent _parent_ protocol ip route from N classid _classid_
За всеки един клиент.
Не съм го пробвал но предполагам че ще проработи. Въпросът е че е дървен метод, по един alias за всеки клиент (разхищение на адресно пространство най-малкото).
--------------
Поправка: няма да стане, статичния рутинг не признава алиаси верно
# ifconfig eth0:1 5.5.5.5 up
# ip rou add 5.5.5.5 dev eth0:1 realm 2
# ip rou ls
5.5.5.6 dev eth0 scope link realm 2
...
5.0.0.0/8 dev eth0 proto kernel scope link src 5.5.5.5
Ммммдам...няма да стане..