Блин уже психую, понять не могу то ли я делаю что то не так то ли оно просто не работает! :(

В общем ситуация: есть машинка – шлюз в инет. К ней подключаются по VPN пользователи и получают ипы 192.168.0.хх маршрутизация работает все хорошо.

Вот мой конф:
# Completed on Mon Jan 4 08:10:38 2010
# Generated by iptables-save v1.4.6 on Mon Jan 4 08:10:38 2010
*filter
:INPUT ACCEPT [39711:5139090]
:FORWARD ACCEPT [65090:41991706]
:OUTPUT ACCEPT [103944:51847082]
-A FORWARD -i eth0 -m state --state INVALID,NEW -j DROP
-A FORWARD -m ipp2p --edk --kazaa --bit -m recent --set --name SYNF2 --rsource
-A FORWARD -m ipp2p --edk --kazaa --bit -m recent --rcheck --seconds 3 --hitcount 10 --name SYNF2 --rsource -j DROP
COMMIT
# Completed on Mon Jan 4 08:10:38 2010
# Generated by iptables-save v1.4.6 on Mon Jan 4 08:10:38 2010
*nat
:PREROUTING ACCEPT [446926:46153260]
:POSTROUTING ACCEPT [427:50200]
:OUTPUT ACCEPT [4078:294443]
-A POSTROUTING -o tap0 -j MASQUERADE
COMMIT
# Completed on Mon Jan 4 08:10:38 2010

Мне надо ограничить количество одновременных сессий для каждого подключения по VPN до 16

Добавляю правило:
-A FORWARD –s 192.168.0.0/24 -m connlimit --connlimit-above 16 --connlimit-mask 32 -j DROP

Правило успешно добавляется, подключаюсь к серверу по VPN и запускаю 4 закачки по 8 потоков – в итоге стабильно качал в 32 потока. То есть правило не сработало, почему не понимаю…

Пробовал:
-A INPUT -s 10.11.14.2 -p tcp --dport 22 -m connlimit --connlimit-above 3 --connlimit-mask 32 -j DROP

Бесполезно один фиг больше 3х пропускает – правило не срабатывает :(

Модуль подгружается поддержка в ядре в общем есть. Куда капать или что делать уже не знаю.

ПАМАГИТЕ!