дропать все пакеты со state=NEW, с одной стороны, или (для tcp) с флагом SYN. А вообще - почитай Securing and Optimazing Linux на tldp.org

Спасибо. Почитаю. Надеюсь, Securing and Optimizing Linux окажется попроще для восприятия, чем man iptables.

вместо man iptables лучше читать iptables-tutorial, в сети есть русский перевод

Re:

Спасибо за совет. Он мне очень помог - теперь я пока могу пользоваться инетом. Iptables-tutorial действительно оказался на удивление доступно написан. Я недано уже постил вопросы по поводу левого расхода трафика. При настройке iptables кроме дропания всех входящих tcp пакетов с флагом SYN я запретил любые входящие и исходящие пакеты по тому левому айпишнику, с которого, и на который шёл левый трафик. Что-то типа

iptables -A INPUT -s 129.123.41.41 -j DROP

и

iptables -A OUTPUT -d 129.123.41.41 -j DROP

Политика цепи INPUT ACCEPT (я пока не дочитал туториал, но в ближайшее время намерен сменить её на DROP).

Так вот, сегодня, после того, как комп поработал несколько часов, счётчик пакетов показал, что 447 пакетов были дропнуты при попытке локальной проги соединиться с хостом 129.123.41.41 . То есть, я так понимаю, что какая то софтина самовольно пытается установить соединение с 129.123.41.41. Результаты проверки chrootkit оказались сначала недостоверными, так как проверка проводилась с запущенным portsentry. При повторной проверке portsentry был выключен, и следующая проверка показала, что никакого биндшелла замечено не было (хороший урок, заключающийся в том, что документацию надо читать основательно, а не бегло). Куда копать - непонятно. Всё таки, мне пока не хочется переустанавливать операционку, а хочется выяснить, что это за прога и возможно, координаты того, кто её подсадил. Что-то мне говорит о том, что этот кто-то, (находящийся, вероятно, в моей домашней сети) не бросит попыток предпринять что-нибудь в том же духе, и если ничего не предпринимать, эти попытки снова могут оказаться успешными. Я понимаю, что у меня пока недостаточно квалификации для этого, но квалификация штука наживная. Может кто-нибудь подскажет, куда копать?

Re:

Поменял политику цепи INPUT с ACCEPT на DROP. Разрешил пакеты RELATED,ESTABLISHED (iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT). И на всякий случай ещё отдельно запретил все tcp пакеты c akfujv SYN попадающие в INPUT.

И вот какая неприятность: конект с моим локальным гейтом обрывается через каждые пару минут - приходится перелогиниваться, аська не работает, короче... ну Вы сами понимаете. Подозревая, что гейт как-то проверяет мой хост на предмет наличия коннекта, я поинтересовался у провайдера каким образом это происходит, чтоб знать, какие пакеты ещё разрешить (разрешать всё с гейта мне не кажется безопасным, ввиду наличия в сети кулхацкеров), чтоб гейт не рвал коннект. Мне "порекомендовали" разрешить все входящие и исходящие icmp пакеты между моей машиной и гейтом. Мне это не кажется безопасным.

Может кто-то знает, как лучше поступить в этом случае? И почему вообще мой файрвол дропает icmp-пакеты с гейта, разве такие пакеты не в состоянии RELATED? Ведь конект с гейтом инициализируется с моей машины, с гейта приходит ответный пакет, файрвол его принимает, соединение устанавливается. Потом с моего сетевого интерфейса отправляется пакет инициализирующий ssl соединение (логин), приходит ответ, его файрвол тоже принимает. Дальше идут запросы на вэб - оттуда идёт трафик через гейт ко мне, эти пакеты имеют статус ESTABLISHED, и тоже принимаются. Если с гейта идёт служебный icmp-запрос, почему мой файрвол его дропает, ведь по идее он должен иметь состояние RELATED? Или я что-то не так понял?