Добрый день.
Начну с самого начала. Была идея фикс дать возможность нашим людям общаться, учится. В сентябре 2007, купил сервера взял стат IP адреса поставил Debian с широкими возможностями которого потом столкнулся. Запустил сайт на phpnuke и потихонечку потихонечку это стало набирать обороты, упомяну, что все расходы вместе с трафиком в 1 гиг в месяц и платой за стат адреса, ложились на меня. Следующим этапом купил панель для вэб хостинга на один сервер, на другой поставил триал версию и хотел отдать этот сервер под домены третьего уровня и в последствии купить. Но как то заметил, что счета за трафик стали увеличиваться причем неимоверно, хотя нагрузки ещё небыло. Стал пытаться отслеживать, чему был поражен система стала периодически отправлять события связанные с безопасностью. Список заблокированных хостов всё растёт и растёт и главное все ip адреса нашего любимого провайдера монополиста казахтелекома, среди них есть и статические адреса которые принадлежат их отделам. При попытке немного повонять мне сказали, что даже разбираться не будут. Так как я плачу за трафик в обе стороны если привысил входящий они берут за него, или если привысил исходящий то за него. Короче получается как бог на душу положет. Сейчас на один сервер пришло запросов за 14 минут с копейками уже 2377 tcp, 77 udp, на другой 1864. Проверял в других организациях где есть стат адреса, нет такой генерации трафика. Написав письмо с вопросом зачем людям чьи маилы высветились после проверки ip адресов, ответа жду до сих пор. В день мы генерируем порядка двести мегов и это не сайт.
Помогите настроить iptable так что бы работали только те порты которые надо, а остальные бы непринимали и не отвечали. Или это не выход?
наш конфиг iptable.up.rules, ято внём надо изменить?

-A INPUT ! -i eth0 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type source-quench -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type time-exceeded -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT
-A INPUT -p tcp -m tcp --dport ssh -j ACCEPT
-A INPUT -p tcp -m tcp --dport auth -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20:21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT

В последнее время даже не боятся и светят стат адреса с которых запускают lsas exploit