Тут недавно наткнулся на англоязычном support форуме:
time-limit для stateful filters - то есть через какое время неактивности динамическое правило удаляется ?
ответ - есть скрытый set parameter:
monitor !h
server parameters
communication
Dynamic Hole Cleanup Time
Век живи век учись.
P.S. На сайте Craig Johnson пишут что Novell оффициально признали что в stateful filters [конкретно в ipflt31.nlm] bug и надо юзать старые старые врсии - для 37 это из состава BM37SP2 ...
посему непонятно - проблема будет решаться или нет - или все ждем окончательного прихода Linux и на начь читаем man по iptables ?