проблема с IMQ

> Где косяк?

У тебя в правиле "iptables -t mangle -A PREROUTING -i ppp0 ..." для всех пакетов ip dst = ip интерфейса ppp0.

> Как быть?

Делать в построутинге - т. е. "iptables -t mangle -A POUSTROUTING -o eth0 ..."

Хотя я и не вижу смысла использовать imq в данном случае - интерфейс eth0 то один.

А почему -o eth0, ведь мне надо ingress трафик шейпить, то бишь входящий, и не просто входящий транзитный, а весь (INPUT Тоже).

В этом случае нужно смотреть схему не только для iptables, а более полную: http://www.docum.org/docum.org/kptd/
Здесь как раз и видно, что в IMQ пакеты попадают на входе и на выходе, причем, если вы их определили туда в mangle PREROUTING, значит попадут на входе, и согласно схеме - до nat-а, т.е. ваш внешний адрес пока еще будет не раз-nat-чен в локальный, о чем anonymous (06.06.2006 10:45:49) вам и сказал.

В дополнение могу сказать, что для IMQ есть патч, который позволяет видеть "NATed packets": http://www.linuximq.net/patchs/imq-nat.diff
(см. http://www.linuximq.net/patches.html)
Сам его не использовал (не было надобности), но люди говорят работает.

Спасибо за разъяснение. А не подскажите, на что накладывать imq-nat патч?

Еще как я понял, в 2.6 ядрах такое можно реализовать без патча, достаточно поменять IMQ behavior в конфигурации. Только вот на что менять в моем случае?

Как на что ? В patch-е ж написано - на imq.c.

На счет "IMQ behavior" думаю вам подойдет пункт 2:
PREROUTING - After NAT
POSTROUTING - Before NAT

Так и есть, AB. Спасибо.