сетка за натом, как считать трафик icq для каждого компа?

ну и нахера?

отрубать тех кто дофига в аське сидит :)

смотря как пускаешь
если целую сетку одним правилом - ХЗ
если каждого своим правилом, тогда можно скрипт написать, чтоб, например iptables -nL -v -t nat делал через определенные промежутки времени и брать оттуда количество пакетов или байт, прошедших через NAT для данного IP и при превышении лимита
iptables -t nat -D ...
для этого IP. Хотя наверное есть более разумное решение.

Почти никак. Аську можно пускать через любой порт. на login.icq.com открыты все порты для аськи.

кто ему мешает открыть только один порт для аськи?

а если
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
то что делать ?

подключи ULOG и используй ulog-acctd

Хех.. на ICQ максимум получается по 3 метра на каждого. А так по метру, по два. Нахрена тут вообще ограничивать. Вот лучше скажите как считать FTP траффик.

А если попробывать ответить на твой вопрос, то: на icq.login.com, как уже сказали, открыты все порты на подключение - а значит что ася может работать через любой порт.

A если сделать itables -t filter -A FORWARD -s $localnet -d login.icq.com -j DROP iptables -t filter -I FORWARD 1 -s $localnet -d login.icq.com -p 5190 -j ACCEPT