Как маркировать входящие пакеты для пользователей сервера

[[core]]

Привет, всем.
Собственно тема: как с помощью iptables маркировать входящие пакеты для конкретного пользователя.
Пример для исходящих пакетов
iptables -t mangle -A OUTPUT -m owner --uid-owner user1 -j MARK --set-mask 22
1) Как быть с входящими?
2) Вопрос номер 2 проще: приходит пакет на адрес 192.168.0.1 и порт 80 как ОС узнает какому процессу это принадлежит если два пользователя одновременно используют браузер? Как быть с UDP пакетами? Какую литературу читать?

[AnrDaemon]

1. Маркируется вся сессия. Если сессия входящая, то так же.
2. Вопрос из области "в африке живут слоны, по чем селедка в Швеции?"... почитай что-нибудь по основам TCP/IP стека. Если коротко - приходят с 80 порта на разные локальные порты.

[[core]]

1) Можно использовать CONNMARK пример
iptables -A OUTPUT -t mangle -m owner --uid-owner user1 -j MARK --set-mark 22
iptables -A OUTPUT -t mangle -m owner --uid-owner user1 -j CONNMARK --save-mark
но udp маркироваться не будут только tcp.
2) да так и есть
Спасибо. Вопрос закрыт.