Пацо, пак съм аз :) Преди време те бях питал как да
 лимитирам конекциите към дата.бг. Най-накрая успях да
 подкарам 2.6.11 ядро, iptables 1.3.3 +
 patch-o-matic-ng-20050918. Вече командата която ми каза
работи:
 iptables -A FORWARD -p tcp -m connlimit --connlimit-above 22

-s $IP_client -d data.bg --dport 80 -j  REJECT 
--reject-with tcp-reset
 обаче когато я вкарам в rc.local(за да се стартита всеки
 път), ми изписва unknown host: data.bg. Дано пак да ми
помогнеш :)

 Нещо в днс-а куца, според мене или резолвера ти не е захапал
 навреме, ако искаш в хост таблицата си направи асоцияция
 хост ип и ще ти проработи, при мен няма такъв проблем,
 провери си пак настройките за днс, щото така като гледам
проверката за днс е била неуспешна.

 Прав си. Проблемът е, че се връзвам в нет-a с PPPOE и може
 би за това DNS по-бавно реагира. Написах правилата
 най-накрая в rc.local и тръгна. Проблема сега е, че не
 винаги спира конекциите. Понякога успява, а понякога
 позволява на потребителите да пускат повече от 5 конекции.
 Опитах се да направя, така, че всеки да има право да тегли
по един файл едновременно.
 iptables -A FORWARD -p tcp -m connlimit --connlimit-above 1

-s $IP_client -d data.bg --dport 21 -j  REJECT 
--reject-with tcp-reset
 Дали, ако махна --reject-with tcp-reset и оставя само REJECT
ще има по-голям ефект.

 Завици от състоянието на конекцията, иди в нетфилтер.орг и
 там виж всичко с подробности, виж конекциите от към кой порт
са, последно като гледам си сложил фтп.

 фтп протокола работи с два порта единия е само за контрол на
 връзката - 20 по тсп и удп, а 21(тсп,удп) е за трансфер на
данни, гледай да не омажеш нещата !!!

Обратното 21 контрол, 20 дата.

Значи предлагаш да шейпна и двата порта?
iptables -A FORWARD -p tcp -m connlimit --connlimit-above 1
-s $IP_client -d data.bg --dport 21 -j  REJECT
iptables -A FORWARD -p tcp -m connlimit --connlimit-above 1
-s $IP_client -d data.bg --dport 20 -j  REJECT