Hallo Ronny,
Vielleicht sollte ich noch erwähnen, dass im LAN ein Server Dienste ins WAN anbiete, was reinzu über DSL mittels dyndns und Portforwarding realisiert wird. Natürlich handelt es sich dabei auch um HTTP/HTTPS. Es muss also sichergestellt sein, dass Antwortpakete auf HTTP/HTTPS Anfragen, die durch DSL reinkamen auch über DSL wieder raus müssen.
Du könntest, wenn es bei HTTP/HTTPS bleibt, auch auf der Linux-Box, die als GW dient, einen Proxy aufsetzten, der die Requests weiterleitet. Und der würde, nach außen wieder mit der Quell-IP antworten, die reinzu das Ziel war. Und damit läßt sich dann relativ einfach „rule based routing“ machen, ohne noch mit den fwmarks kämpfen zu müssen.
Proxy könnte z.B. pound (kann auch HTTPS auf HTTPS) sein. Das Routing dann etwa so (aus dem Gedächtnis, aber ich bin schon 45 ☺):
echo 200 web >> /etc/iproute/rt_tables # das aber nur einmal!
ip rule add src x.x.x.x table web ip route add default via z.z.z.z table web
Natürlich verliert damit der eigentliche Webserver die Kenntnis über die Herkunft der Anfragen.