Приветствую! Покотиленко Костик wrote:
При хорошем скане REJECT=смерть, лучше DROP.
6.5.3. Действие DROPДанное действие просто "сбрасывает" пакет и iptables "забывает" о его существовании. "Сброшенные" пакеты прекращают свое движение полностью, т.е. они не передаются в другие таблицы, как это происходит в случае с действием ACCEPT. Следует помнить, что данное действие может иметь негативные последствия, поскольку может оставлять незакрытые "мертвые" сокеты как на стороне сервера, так и на стороне клиента, наилучшим способом защиты будет использование действия REJECT особенно при защите от сканирования портов.
http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html#DROPTARGET -- WBR, Oleg Gashev.