Dotaz: iptables - konfigurace na osobnim pc

V iptables sem uplny novacek, tak bych chtel pozadat o neaky pripominky a rady, jak co nejlip nastavit netfilter na osobnim pc (vim ze to neni uplne nutny). Podle ruznejch zdroju na netu sem stvoril toto:

:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [18742:1360312]
:LDROP - [0:0]
-A INPUT -i lo -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -m state --state INVALID -j DROP 
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -j LDROP 
-A LDROP -m limit --limit 1/sec -j LOG --log-prefix "iptables-reject:" 
-A LDROP -p tcp -j REJECT --reject-with tcp-reset 
-A LDROP -p udp -j REJECT --reject-with icmp-port-unreachable 
COMMIT

Je napr. dobre zahazovat INVALID pakety ? Ma smysl snazit se neak branit scanovani portu (napr. techniky pouzivany nmapem) ? Dekuju

Pokud vám na tom počítači neběží síťové služby, které nemají být z venku dostupné a nemůžete je nechat naslouchat jen na lokálním rozhraní (třeba nějaká databáze pro vývoj, kterou by nešlo nastavit, ať poslouchá jen na localhostu), je firewall na osobním PC zbytečný. Pokud na těch portech nic neběží, je zbytečné pokoušet se nějak bránit skenování portů – i když to na firewallu nějak nastavíte, bude to z pohledu útočníka vypadat stejně, jako kdybyste tam žádnou obranu neměl, a z vašeho pohledu (zatížení sítě) také. Takže je to jen zbytečná práce, která nic nepřinese. To samé se týká zahazování INVALID paketů nebo zbytku vašeho firewallu – nepřináší to žádnou přidanou hodnotu proti stavu, kdy byste měl firewall úplně vypnutý, takže je to jen zbytečná práce a riziko, že něco nastavíte špatně.