в чем разница IPCHAINS -A и IPCHAINS -I

Значит смотри, опция -A добавляет правило к концу цепочки(input output forward) а вот опция -I добавляет в начало! Улавливаешь разницу? То есть если ты добавляешь в конец, то скорее всего перед твоим правилом есть правило, которое делает обратное(правила в цепочке выполняются последовательно)
Ты пишешь:
>ipchains -A input -s IP -d D-IP 6667 -p tcp -j DENY
>не работает , меняем A на I - работает
Обрати внимание: ты добавляешь в конец и не работает, следовательно перед твои правилом есть правило, которое разрешает tcp пакеты на этот порт, и по достижению этого правила пакет принимается, следовательно дальнейшие цепочки пропускаются.

>ipchains -I input -s IP -d D-IP 6667 -p tcp -j DENY
>это правило работает
А вот ты добавил в начало, и заработало!
Посмотри внимательно все правила, и вставь свое в то место, куда надо.
А вообще-то честно говоря более 500 правил это не тонкость, а бестолковость(ну если конечно за серваком не толпы сетей), я че-то не понимаю, мне кажется все попроще можно сделать.

Вот как раз и толпы , я из бедной нищей страны , называемой ЛАТВИЯ , тут с нас берут бабло за трафик идущий из заграницы , поэтому приходится закрывать заграницу путем прописывания ВСЕХ апишников (т.е. подсетей ) бегающих внутри страны . Для того чтобы байтики не тикали приходитца закрывать и открывать вручную по аутпут и инпут ЛВ зону, вдобавок у нас только 1 реал апи на котором сидит народ , вот и приходится помио всего еще и правила маскарадинга прописывать , так что общее количество правил довольно огромно .

На счет -A и -I понял , пойду прикидывать как что и куда :)

В этом случае надо бы BGP да циску, ну да понятно,
у нас на Украине тоже не особо пи%%%то.