кстати вопрос про -j RETURN
допустим есть 2 правила
-A INPUT -p ALL -j fragment_pkt
-A fragment_pkt -p ALL --fragment -j DROP
и есть 2 правила
-A INPUT -p ALL -j fragment_pkt
-A fragment_pkt -p ALL --fragment -j DROP
-A fragment_pkt -p ALL -j RETURN
в чем здесь будет разница?
Ни в чём.
RETURN - таргет по умолчанию для кастомных цепочек. Ставить его последним нет смысла.
А вот конструкция типа
-A FORWARD -o internet -j auth_check
...
-A auth_check -m recent --name AUTHORIZED --rsource -j RETURN
-A auth_check -j REDIRECT --to-ports 3128
уже несёт смысл. Клиенты, добрым словом помянутые в списке авторизованных существ, будут избавлены от пересылки на авторизующий сервер.
И второй раз подряд - фраза
"-p ALL" НИКАКОЙ СМЫСЛОВОЙ НАГРУЗКИ НЕ НЕСЁТ ПРОСТО НЕ ПИШИ ЕЁ!