Проблема пока временно решена. Спасибо за советы.

У меня считалка своя, т.е. когда-то не смог настроить ипстаты и написал свою на сях. Немного подглюкивает, но считает исправно. Особенность в том, что работает только с иптабласами/чейнами, любые варианты, которые меняют таблицу - не катят под них надо переписывать.

Плюс - есть часть компов, которые через сеть ходяит на внешние адреса (типа анлимитед по городу), т.е. я их должен пропускать через етх1 на етх0 и оттуда не город по-любому. Короче каша-мала. Но немного разрулил.

Решил так - на те ИП которые идут в инет и которые надо защищать добавил -i и -o для ппп интерфейса получилось:
/sbin/iptables -A OUTPUT -s х.х.х.х -i ppp0 -j ACCEPT
/sbin/iptables -A INPUT -d х.х.х.х -o ppp0 -j ACCEPT

Короче пока конкретный ИП не прошёл через ппп - он идет нафиг(ДРОП на политиках таблсов по умолчанию), а чтобы пройти через ппп - лог/пасс соответственно.

ЗЫ. И из-за этого пустяка пришлось просидеть кучу времени, сижу и думаю как сразу не догадался.......
ЗЫЫ. Интересно что наш юный хакер ещё придумает...