>> обычные люди про conntrack не знают и привыкли так:
> Обычные люди юзают контрак для отладки, потом парсят и делают правила bpf
> И ваще, айпистол уже отстой nftables рулит!

как iptables может быть отстоем, а nftables - нет, когда они оба всего-лишь интерфейсы для управления netfilter, который и есть сам файрволл?

причём тут bpf какой-то левый, когда про iptables спрашивают... непонятно
хоть пассивный FTP проверял в этом bpf?

>> в общем и целом оно работает, НО! через ~ минуту бездействия подвисает
> Лечу по фото, дорого. Весь файервол показывай.

на:
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

-P FORWARD DROP
-P INPUT DROP
-P OUTPUT DROP

-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

-A INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j LOG --log-level DEBUG --log-prefix="NEW packets: "
-A INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

-A INPUT -j ACCEPT
-A OUTPUT -j ACCEPT

COMMIT

вот в таком виде глючит