Любая версия Защита сервера (iptables)

Это не очередной гайд по созданию правил в iptables или пояснении что это вообще такое. Хотелось бы что бы каждый, кто в этой области хоть чу-чуть разбирается, поделился своей логикой защиты, покритиковал или похвалил наработки других админов.
Я, пожалуй, начну:

代码:

iptables -N pw_check
iptables -A pw_check -m recent --update --seconds 60 --hitcount 3 -j DROP
iptables -A pw_check -m connlimit --connlimit-above 3 -j DROP
iptables -A pw_check -m recent --set -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -p tcp --dport 29000 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 29000 -j pw_check

iptables -P INPUT DROP

Ну и на роутере закрыт прием udp пакетов.

Что происходит?
Отправляем все пакеты со статусом нового на проверку по цепочке pw_check и дропаем все соединения, превышающие максимум доступных за нужный промежуток времени (3 коннекта за 60 секунд) и превышающие допустимое кол-во одновременно открытых подключений (3).

Логика?
Не нужно игроку перезаходить на аккаунт более 3 раз в минуту и не нужно игроку более 3 окон (отбрасываем возможность прокси) одновременно. Так сказать ставим юзера в рамки, которые при хороших намерениях не страшны.

Недостаток: можно открыть 3 сессии и по ним грузить сервер флудом
Преимущество: школьники, которые все значения в флудерах ставят на максимум, сразу здадутся

Пожалуйста, ваша критика. Не забывайте про аргументы

iptables как средство защиты от ддос это смешно.
Еще на l7 с богом по палам при ручном разборе, но явно не на l4.
Идея с блокировкой удп трафика в принципе бессмысленна.

Предложи не смешное.
Вторая строчка не понятна
Про юдипи:

Если Вы даже не понимаете, что Вам пишут (хотя написали даже о базовых понятиях архитектуры сети), то как Вы собраетесь "учить" других "защищать" сервер?
--- добавлено: 26 янв 2015 в 11:58 ---

Как раз это очередной "гайд".
--- добавлено: 26 янв 2015 в 12:01 ---

И опять Вы не поняли о чем Вам говорят...

iptables работает на уровне OS, иными словами - до машины трафик в любом случае дойдёт (внезависимости заблокируете вы его или нет через iptables).
1. Из этого следует, что если нагрузка на трафик превысит пропускную способность канала - будут проблемы с доступностью сервера, даже если iptables заблокирует все вредоносные пакеты.
2. Так как обработка правил происходит на самом сервере, нужно учитывать то, что на проверку каждого входящего пакета - необходимо процессорное время. Даже если канал полностью забить не удалось (как в первом варианте), то процессор, при достижении определённого объёма, просто физически не успеет фильтровать, и выполнять запущенные процессы.