Настройка квот в IPTABLES

Нужно поставить ограничение трафика на внутреннюю сеть, т.е. чтобы конкретный IP не использовал свыше 100mb upload и download в день, потом, по истечении 24 часов, обнулять и заново считать.
Сеть такая: Инет идёт через 3G Router(192.168.1.1)- это wlan1, на нём запущен DHCP и DNS сервер. На целевой машине, т.е. этой, которая будет являтся роутером и ограничителем трафика, wlan1 имеет адресс 192.168.1.110(прописан статически, dns/gw 192.168.1.1). Второй интерфейс, это wlan0, который Инет не имеет(беспроводной, но это не столь важно), вот к нему, подсоединено несколько компьютеров, которым нужно ограничить трафик. Адресс wlan0 целевой машины(роутера)- 172.16.0.100 (dns и шлюз не прописаны). Далее, в качестве свитча в wlan0, выступает беспроводной роутер, который уже разветляет сеть и к которому подключены машины, которым надо ограничить Инет: 172.16.0.101 172.16.0.102 172.16.0.103.
Собственно, что у меня получилось пока: по образцу составил правила для Iptables, запустил, Инет на машинах wlan0 заработал. Но я не могу разобраться с квотами, в конфиге они прописаны, но работают или нет, не знаю, хотелось бы как-то глянуть, где этот трафик считается. И второе не понятно: свои правила я сохранил в /var/lib/iptables/rules-save, и когда запускаю iptables, он удаляет в правилах мои коментарии и пишет свои, почему ?
Вот оригинал того, что я кладу в rules-save:

#wlan1 has internet and wlan0 not
#wlan1 192.168.1.0
#wlan0 172.16.0.0
#/var/lib/iptables/rules-save
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

# allow local loopback connections
-A INPUT -i lo -j ACCEPT

# drop INVALID connections
-A INPUT   -m state --state INVALID -j DROP
-A OUTPUT  -m state --state INVALID -j DROP
-A FORWARD -m state --state INVALID -j DROP

# allow all established and related
-A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# allow connections to my ISP's DNS servers
-A OUTPUT -d 192.168.1.1 -m state --state NEW -p udp --dport 53 -o wlan1 -j ACCEPT
-A FORWARD -d 192.168.1.1 -m state --state NEW -p udp --dport 53 -i wlan0 -o wlan1 -j ACCEPT

# allow outgoing connections to web servers
-A OUTPUT  -d 0/0 -m state --state NEW -p tcp -m multiport --dport http,https -o wlan1 -j ACCEPT
-A FORWARD -d 0/0 -m state --state NEW -p tcp -m multiport --dport http,https -o wlan0 -i wlan0 -j ACCEPT

#allow pings
-A OUTPUT -d 0/0 -p icmp -m icmp --icmp-type echo-reply -o wlan1 -j ACCEPT
-A FORWARD -d 0/0 -p icmp -m icmp --icmp-type echo-reply -o wlan1 -i wlan0 -j ACCEPT

#QUOTA for iPs in wlan0
-A FORWARD -s 172.16.0.101 -m quota --quota 104857600 -j ACCEPT
-A FORWARD -d 172.16.0.101 -m quota --quota 104857600 -j ACCEPT
-A FORWARD -s 172.16.0.102 -m quota --quota 104857600 -j ACCEPT
-A FORWARD -d 172.16.0.102 -m quota --quota 104857600 -j ACCEPT
-A FORWARD -s 172.16.0.103 -m quota --quota 104857600 -j ACCEPT
-A FORWARD -d 172.16.0.103 -m quota --quota 104857600 -j ACCEPT

# log all other attempted out going connections
-A OUTPUT -o wlan1 -j LOG
-A FORWARD -j LOG

# default is to DROP out-going connections
COMMIT
*nat

# set up IP forwarding and nat
-A POSTROUTING -o wlan1 -j SNAT --to 192.168.1.110
COMMIT

Запускаю, gateway dem #/etc/init.d/iptables start и вот что показывает таблица:

gateway dem # iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere            state INVALID 
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 

Chain FORWARD (policy DROP)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            state INVALID 
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     udp  --  anywhere             192.168.1.1         state NEW udp dpt:domain 
ACCEPT     tcp  --  anywhere             anywhere            state NEW multiport dports http,https 
ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply 
ACCEPT     all  --  172.16.0.101         anywhere            quota: 104857600 bytes
ACCEPT     all  --  anywhere             172.16.0.101        quota: 104857600 bytes
LOG        all  --  anywhere             anywhere            LOG level warning 

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            state INVALID 
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     udp  --  anywhere             192.168.1.1         state NEW udp dpt:domain 
ACCEPT     tcp  --  anywhere             anywhere            state NEW multiport dports http,https 
ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply 
LOG        all  --  anywhere             anywhere            LOG level warning 

gateway dem # iptables -L -t nat
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
SNAT       all  --  anywhere             anywhere            to:192.168.1.110 

останавливаю /etc/init.d/iptables stop , и вот что происходит с /var/lib/iptables/rules-save:

# Generated by iptables-save v1.4.6 on Sun Jan  2 02:46:06 2011
*nat
:PREROUTING ACCEPT [30:11067]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [21:1765]
:POSTROUTING ACCEPT [0:0]
[18:1157] -A POSTROUTING -o wlan1 -j SNAT --to-source 192.168.1.110 
COMMIT
# Completed on Sun Jan  2 02:46:06 2011
# Generated by iptables-save v1.4.6 on Sun Jan  2 02:46:06 2011
*mangle
:PREROUTING ACCEPT [164:62977]
:INPUT ACCEPT [45:13066]
:FORWARD ACCEPT [63:28039]
:OUTPUT ACCEPT [43:5763]
:POSTROUTING ACCEPT [105:34027]
COMMIT
# Completed on Sun Jan  2 02:46:06 2011
# Generated by iptables-save v1.4.6 on Sun Jan  2 02:46:06 2011
*filter
:INPUT DROP [3:84]
:FORWARD DROP [0:0]
:OUTPUT DROP [5:729]
[0:0] -A INPUT -i lo -j ACCEPT 
[0:0] -A INPUT -m state --state INVALID -j DROP 
[35:11944] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
[0:0] -A FORWARD -m state --state INVALID -j DROP 
[61:27918] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
[1:73] -A FORWARD -d 192.168.1.1/32 -i wlan0 -o wlan1 -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT 
[0:0] -A FORWARD -i wlan0 -o wlan1 -p tcp -m state --state NEW -m multiport --dports 80,443 -j ACCEPT 
[0:0] -A FORWARD -i wlan0 -o wlan1 -p icmp -m icmp --icmp-type 0 -j ACCEPT 
[1:48] -A FORWARD -s 172.16.0.101/32 -m quota --quota 104857600 -j ACCEPT 
[0:0] -A FORWARD -d 172.16.0.101/32 -m quota --quota 104857600 -j ACCEPT 
[0:0] -A FORWARD -j LOG 
[0:0] -A OUTPUT -m state --state INVALID -j DROP 
[18:3044] -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
[14:916] -A OUTPUT -d 192.168.1.1/32 -o wlan1 -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT 
[2:120] -A OUTPUT -o wlan1 -p tcp -m state --state NEW -m multiport --dports 80,443 -j ACCEPT 
[0:0] -A OUTPUT -o wlan1 -p icmp -m icmp --icmp-type 0 -j ACCEPT 
[3:252] -A OUTPUT -o wlan1 -j LOG 
COMMIT
# Completed on Sun Jan  2 02:46:06 2011

Почему он его изменяет ? Как сделать чтоб все мои комментарии оставались и ничего не сжималось как он делает? Я подумывал что проблема в /etc/conf.d/iptables, по умолчанию там стоит что надо сохранять текущее положение счётчиков при останове:

IPTABLES_SAVE="/var/lib/iptables/rules-save"

# Options to pass to iptables-save and iptables-restore 
SAVE_RESTORE_OPTIONS="-c"

# Save state on stopping iptables
SAVE_ON_STOP="yes"

P.S. Пока это первый этап, тобишь разобраться с счётчиком трафика и скриптом, второй это уже будет cron и автоматическое обнуление трафика после 24 часов для каждого IP.
P.P.S Там у меня в скрипте ошибка в пробросе ping пакетов, исправлю, пока это не столь важно.

gateway dem # ping mail.ru
PING mail.ru (94.100.191.204) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted