ДД! Есть шлюз, через него ходят несколько сотен пользователей.

Нужно блокировать тех пользователей, которые генерируют соотношение исходящего/входящего tcp трафика 50 к 1. Умеет ли iptables такое ?

Гугл показывает примеры типа

iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j QUEUE