В чем разница в IPTABLES (DENY and REJECT)?????

разница между REJECT и DENY состоит в том, что в первом случае отправителю посылается уведомление в виде ICMP port unreacheable или TCP RST. Во втором пакет просто отбрасывается и никакого уведомления не посылается.

Думается надо поправить... Речь идет не о DENY, а о DROP и REJECT. Если хочется, чтобы злоумышленик знал, что машина есть на этом IP и пакеты фильтруются то ставь REJECT - З. получит ответ, от машины, что низя туда. А если хочешь что бы он вообще ничего не получал, то ставь DROP, машина будет молчать как рыба. :)

А не кажется ли Вам, что наоборот?

Если DROP, то таки злоумышленник заподозрит, что машина есть, пакеты фильтруются, и даже, что файрволлом прикрыт некий сервис.

Если REJECT, то таки да, машина есть, но нет сетевого сервиса.

Реально, если машины нет или она выключена, не факт, что такая ситуация выглядит для злоумышленника, как файрволл с опцией DROP. Ответ может быть, что-то вроде No route to host.

если я не ошибаюсь, когда машина отключена от сети, то роутер, который обслуживает сетку с этой машиной обязан послать отправителю icmp пакет: destination host unreachable. с DROP конечно же такого не будет.

но нельзя забывать о том, что роутеры разные бывают. некоторые могут вообще ничего не ответить, если машины нет в сети. в таком случае, для хацкера это будет выглядеть также как и с DROP'ом ;)

REJECT - в IPtables не поддерживается, насколько я знаю. Только DROP. А вот в IpChains было такое.

>REJECT - в IPtables не поддерживается, насколько я знаю.
Все замечательно поддерживается! Не сбивайте людей с толку.