>> Правда, попутно в нем не было много чего другого, что было в ipchains
> А чего именно, кстати? Ты столько раз ipchains уже вспомнил, что мне

прежде всего, вот этого:
# ipchains -v -b -C input -p tcp -f -s 192.168.1.1 -d 192.168.1.2 -i lo
  tcp opt   ---f- tos 0xFF 0x00  via lo    192.168.1.1  -> 192.168.1.2    * ->   *
packet accepted
  tcp opt   ---f- tos 0xFF 0x00  via lo    192.168.1.2  -> 192.168.1.1    * ->   *
packet accepted

- то есть, если у тебя что-то в сложном нетривиальном файрволе не работает, теперь ты можешь только гадать и вручную рассовывать -j LOG во все подозрительные места, а потом может месяц ждать пакета, если не ты контролируешь оба конца, снова его потерять, повторять пока не получится - а не просто взять и посмотреть, какая конкретно группа правил решила отправить пакет в /dev/null и одна ли она такая.

Причем Ржавый мамой клялся, что всьо-всьо починит, как только так сразу, а потом куда-то девался. Наверное, его убили и съели.

Ну и до кучи - угадай, кто из них выжил:
net/ipv4/ip_masq_app.c      net/ipv4/ip_masq_mod.c
net/ipv4/ip_masq_autofw.c   net/ipv4/ip_masq_portfw.c
net/ipv4/ip_masq.c          net/ipv4/ip_masq_quake.c
net/ipv4/ip_masq_cuseeme.c  net/ipv4/ip_masq_raudio.c
net/ipv4/ip_masq_ftp.c      net/ipv4/ip_masq_user.c
net/ipv4/ip_masq_irc.c      net/ipv4/ip_masq_vdolive.c
net/ipv4/ip_masq_mfw.c
(да, обрати внимание, что userspace хелпер тоже был, поэтому multiple gre nat не был в те времена недостижимым чудом. Тоже кто-то тогда мамой клялся, что вот-вот, интерфейсы стабилизируются, и он нам напишет работающий - и даже интерфейс есть, правило честно создается. Хелпер - ПИШУТЪ! ДВАДЦАТЬ гребаных лет!)