Интересно, нужна-ли кому-нибудь такая возможность для iptables: Что-то в духе insert on update, но по факту скорее update on insert - при попытке добавления в цепочку правила, которое в ней уже итак существует, просто обнулять счётчики этого правила. Я с такой необходимостью столкнулся при разработке платформы Carbon, где множество chroot-jail’ов при старте норовят создать правила в firewall для обеспечения доступа к своим сервисам. В принципе где-то в мае я бы этим с удовольствием занялся, но:

  • Не принесёт денег - в принципе пофиг, зато удобно.
  • Не примут в официальную ветку netfilter, туда и более полезные патчи не принимают.
  • Не примут даже в patch-o-matic, потому что получится скорее всего говнокод.
  • Неизвестно, нужно ли это вообще кому-то кроме меня.UPD: Забавно, но есть подобный функционал в новых билдах iptables, называется –check -C, проверяющий есть ли такое правило в цепочке.