Hűha, nagy a katyvasz. Én mindkét irány felé használok egy-egy routing mark-ot (to_ISP1 és to_ISP2).
Először is megjelölöm a lehetséges befele irányuló új kapcsolatokat connection mark-kal, aszerint melyik WAN vonalon jöttek (pl from_ISP1_conn, from_ISP2_conn).
Jöhetnek a kifele irányuló kapcsolatok.
A megfelelő IP címek/portok felé irányuló új kapcsolatokat is ugyanígy megjelöljük (ide jönnek a kivételek és a PCC).
Ha a kapcsolatok meg lettek jelölve, jöhetnek maguk a kapcsolatokhoz tartozó kimenő csomagok.
Az adott kapcsolathoz tartozó kifele menő(!!!, ha a WAN felöl jövő csomagot is megjelöljük, még képes a mocsok visszaküldeni a feladónak :D) csomagokra (pl a LAN felöl jövőkre) rátesszük a megfelelő routing mark-ot.
Ha nem akarunk minden kapcsolatot megjelölni, az a lényeg, hogy legyen egy általános route szabály, ami megmutatja az alapértelemzett átjárót, valamint még két route szabály, hogy melyik routing mark melyik WAN vonalat jelöli. Itt meg lehet és meg is kell majd bonyolítani, ha szeretnénk egy failover mechanizmust. Elvileg működhet a dolog külön ütemezett script nélkül is, de nem sikerült összehoznom, hogy két címmel is csekkolja, hogy adott WAN vonal tényleg működik-e (ha se a 8.8.8.8 sem az rs1.bix.hu IP címe nem érhető el, akkor valszeg azon WAN vonalon át már semmit nem érsz el az internetből, a másodlagos WAN-t meg 8.8.4.4-el és rs2.bix.hu IP címével tesztelem)