На сервере крутится апач и самба. Нужно максимально защититься, но без излишней паранои. Порты 137,138,139 и 445 открыл только в сторону локальной сети. Думаю этого будет достаточно. А вот с вэб сервером надобно получше заморочится. Накидал iptables. Вот кусок.
# Отбросим все пакеты, которые не имеют никакого статуса
$iptables -A INPUT -m state --state INVALID -j DROP
$iptables -A FORWARD -m state --state INVALID -j DROP
#
# Блокируем нулевые пакеты
$iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
#
# Защищаемся от разведывательных пакетов XMAS
$iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
#
# Закрываемся от syn-flood атак
$iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$iptables -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
#
# Блокируем доступ для следующих ip адресов
$iptables -I INPUT -i $WAN -s 92.118.38.0/24 -j DROP
