Меня щупают из сети

Дефолтная цель (target) цепочки применяется после прохождения всей цепочки. Пакеты на 23 порт не подошли ни под одно правило, кроме последнего, с целью LOG. То есть, правило, которое пишет лог, работает у тебя ещё до того, как пакеты дропнутся. Таким макаром, в логи у тебя пишется всё то, что явно не разрешено. А то, что явно разрешено, в логи не пишется, потому что пакет прекращает прохождение цепочки, как только встретит подходящее правило с целями типа ACCEPT или DROP.

Или вопрос не в том, чтобы настроить iptables?

Не тебя, а всех. Всех щупают, непрерывно. Добро пожаловать в интернет.

Совсем не в том. Хотя я не стопроцентный знаток сетевых технологий и допускаю предположение, что NAT работает с ошибкой. Например какой-нибудь из этих пакетов предназначался не серверу, а компьютеру в локалке, но тогда он должен был попасть не в цепочку INPUT, а в FORWARD. Как netfilter вообще определяет какой входящий пакет куда адресован, dst ip ведь у них изначально везде одинаковый?

Такое впечатление будто бы меня «щупают».

Если тебе это нравится, то можно ничего не делать :3

А вообще - selinux конфигурял?

6881 - это, емнип, поррент, так что нормально.

23 - ищут дырявое оборудование, бойся.

1024 - не помню, гугли.

А также 80, 4135, 9080 и кучу непревелегированных портов вроде 35514. А как по твоему сканирующий может предугадать, что вот сейчас это ip принадлежащий провайдеру, будет выдан абоненту? Ну не верю я, что в Интернете могут быть хосты, пытающиеся просканировать весь Интернет, все же понимают, что это - нереально.
Другой довод, я шлюз настраивал в прошлый раз год назад, точно такой же набор правил был примерно, тоже политика - дропать всё, что не разрешено, но такого количества дропнутых пакетов не было. Разница была лишь в том, что был другой дистрибутив и был постоянный ip, поэтому вместо MASQUERADE использовалось SNAT.
Вывод - никакое это не сканирование, это или последствия ошибочной настройки, либо этот трафик инициирован моим компьютером, например какая-то программа сливает ip разработчику, а тот в свою очередь пытается прощупать своих пользователей.

Вывод - никакое это не сканирование, это или последствия ошибочной настройки, либо этот трафик инициирован моим компьютером, например какая-то программа сливает ip разработчику, а тот в свою очередь пытается прощупать своих пользователей.

Да всем насрать ©

И, ты ошибаешься, имхо. Туева хуча софта сейчас за хаким-то куем сканирует всё, до чего может дотянуться. И приходится с этим мириться, так как этот софт не у тебя, а у хомячья ламерского^W^Wпользовательской базы кококого-нибудь uTorrent, Firefox (с его Hello и прочим новым говном), Хромого и подобной ереси.

Шлюз у тебя настроен относительно неплохо, так что притуши паранойю и используй fail2ban.

Кому нужно сканировать диапазоны провайдеров, это же бессмысленное занятие.

Поиск интересных хостов, например.

Например какой-нибудь из этих пакетов предназначался не серверу, а компьютеру в локалке, но тогда он должен был попасть не в цепочку INPUT, а в FORWARD.

И в INPUT, и в FORWARD.

Как netfilter вообще определяет какой входящий пакет куда адресован, dst ip ведь у них изначально везде одинаковый?

За это отвечает механизм connection tracking. Когда внутренний клиент шлёт пакет наружу, информация о соединении попадает в специальную таблицу, где хранится информация о соответствии портов внутренних клиентов с внешними портами.

Но ip-адрес у меня динамический, меняется несколько раз в сутки

А возможно, предыдущий владелец выданного тебе IP-адреса, передавал какие-либо данные по этим портам (торренты, вирусы и прочее), и теперь эта куча мусора валится тебе.
P.s. Купи статический адрес и через какое-то время количество этого хлама значительно снизится.

Кому нужно сканировать диапазоны провайдеров,

Ботам.

это же бессмысленное занятие.

Нет, они ищут новых членов зомби-сетей.

открой порты и посмотри что дальше будет