Раньше, чтобы с группs адресов ограничить входящий трафик на определенный ppp интерфейс я маркировал его с помощью iptables и затем с помощью дисфиплины ingress ограничивал его на ppp через fw. Всё замечательно работало. Но вот, в новых ядрах принято решение отказаться от старого полисера NET_CLS_POLICE в пользу нового NET_ACT_POLICE. Все это хорошо, но одна проблемка: новый полисер срабатывает _ДО_ PREROUTING, а не после как было. В результате он не видит маркированный трафик и рейтлимит не работает. Как быть?