Сорри ошибочка:

Чего то не могу прикрыть локальный адрес от ping-ов: Даю : ipchains -A input -p icmp -s 0/0 -d 192.168.0.1/32 -j DENY не действует, где ошибка? Пинги на него проходят все равно.

Почитай, пожалуйста, /usr/src/linux/Documentation/networking/ip-sysctl. Подумай немножко и поймешь, что разумнее вырубить поддержку ICMP и IGMP в самом TCP/IP стеке, чем мучиться с ipchains.

Хорошо, но в ipchains HOWTO именно этот пример и он не работает!!! А как быть если я хочу прикрыть свой apache от внешнего мира, только для локальных адресов разрешить? Тоже не работает: ipchains -A input -p tcp -s ! 192.168.0.0/24 -d 192.168.0.1/32 -j REJECT. и при использовании "-y" тоже.

Хорошо, но в ipchains HOWTO именно этот пример и он не работает!!! А как быть если я хочу прикрыть свой apache от внешнего мира, только для локальных адресов разрешить? Тоже не работает: ipchains -A input -p tcp -s ! 192.168.0.0/24 -d 192.168.0.1/32 80 -j REJECT. и при использовании "-y" тоже.

Вот, например, так я прикрывал MySQL порт у себя:
ipchains -A input -s 0.0.0.0/0.0.0.0 ! 10.0.0.0/255.0.0.0 5050:5050 -j DENY
ipchains -A output -s 0.0.0.0/0.0.0.0 ! 10.0.0.0/255.0.0.0 5050:5050 -j DENY

Спасибо, из всех правил я написал только одно на output. input вообще не имеет влияния, ping-и прибиваются только если выставлен output. странно....???!!! ipchains -A output -p icmp -s 192.168.0.1/32 -d 0/0 -j DENY

не знаю , не знаю ... я через input пинг убивал ... output вообще не трогал ...

Таких чудес не бывает

Правило должно работать. Только обычно выбирают такую политику - запрещают по дефолту ВСЕ (только output можно оставить в ACCEPT), а потом разрешают то, что нужно. В этом случае такие проблемы не возникают и риск ошибиться гораздо меньше. В твоем случае, я думаю, срабатывает какое-то другое правило не одно ведь ты его написал. Если сомневаешбся, включи для него аккаунтинг и увидишь, что скорее всего пакеты в это правило не попадают, а проходят через другое.