вот какого хуя в репе делает ipset, если ему требуется модуль ip_set, который штатным образом получить вообще невозможно? то есть нужно пересобирать ядро с патчами ссяе.
вообще, iptables довольно крутой фильтр, но инфраструктура у него насквозь тухлая.
а ещё вообще сис5 отвратительно выглядит в 2009 году. всё нужно нахуй передать чтобы тачка стартовала как минимум асинхронно. а то не подцепился вовремя внешний винт -- и пиздец.