iptables -X: összes nem beépített (pl. nem INPUT, stb) lánc törlése, amennyiben az üres (nincs benne szabály). Ez az iptables -F segítségével garantálható, utána törölhetőek a láncok. Egy a fontos: az iptables -F előtt állítsd a default policy-t ACCEPT-re mindenhol (pl. iptables -P INPUT ACCEPT), különben kizárod magad.
ptables -A INPUT -d 255.255.255.0 -j DROP /?
iptables -A INPUT -d 224.0.0.0/8 -j DROP /?
no, ezek nekem sem világosak. A broadcast cím (vagy a hálózat címe) sem ez, szóval szvsz mindkettő felesleges.
A "gyanús csomagok eldobása" - gondolom neten érvényes címe van az eth0 interface-nek. Ekkor viszont a csak NAT mellett működő (interneten nem érvényes) címtartományok nyugodtan letilthatóak. Ezek pont azok.
Ami a logot illeti: gondolom van a hálózaban windows, az meg ész nélkül próbál a 139, 445, stb. portokhoz kapcsolódni, ezért a LOG targetre mindig jutni fog pár csomag.
A drop_icmp lánc a tipikus hozzáállást valósítja meg: LOG&DROP, és nem akarsz minden csomagot logolni. Biztos, hogy azt a szabályt nem értetted?
Nem klog => nem LOG, hanem ULOG target + ulogd daemon kell neked. Beállításait nem ismerem, mindenesetre tud adatbázisba is menteni.