>> Правда, попутно в нем не было много чего другого, что было в ipchains
> А чего именно, кстати? Ты столько раз ipchains уже вспомнил, что мне прежде всего, вот этого:
# ipchains -v -b -C input -p tcp -f -s 192.168.1.1 -d 192.168.1.2 -i lo
tcp opt ---f- tos 0xFF 0x00 via lo 192.168.1.1 -> 192.168.1.2 * -> *
packet accepted
tcp opt ---f- tos 0xFF 0x00 via lo 192.168.1.2 -> 192.168.1.1 * -> *
packet accepted
- то есть, если у тебя что-то в сложном нетривиальном файрволе не работает, теперь ты можешь только гадать и вручную рассовывать -j LOG во все подозрительные места, а потом может месяц ждать пакета, если не ты контролируешь оба конца, снова его потерять, повторять пока не получится - а не просто взять и посмотреть, какая конкретно группа правил решила отправить пакет в /dev/null и одна ли она такая.
Причем Ржавый мамой клялся, что всьо-всьо починит, как только так сразу, а потом куда-то девался. Наверное, его убили и съели.
Ну и до кучи - угадай, кто из них выжил:
net/ipv4/ip_masq_app.c net/ipv4/ip_masq_mod.c
net/ipv4/ip_masq_autofw.c net/ipv4/ip_masq_portfw.c
net/ipv4/ip_masq.c net/ipv4/ip_masq_quake.c
net/ipv4/ip_masq_cuseeme.c net/ipv4/ip_masq_raudio.c
net/ipv4/ip_masq_ftp.c net/ipv4/ip_masq_user.c
net/ipv4/ip_masq_irc.c net/ipv4/ip_masq_vdolive.c
net/ipv4/ip_masq_mfw.c
(да, обрати внимание, что userspace хелпер тоже был, поэтому multiple gre nat не был в те времена недостижимым чудом. Тоже кто-то тогда мамой клялся, что вот-вот, интерфейсы стабилизируются, и он нам напишет работающий - и даже интерфейс есть, правило честно создается. Хелпер - ПИШУТЪ! ДВАДЦАТЬ гребаных лет!)