Az a syn limit biztos jó helyen van ott? Ezzel minden, nem a 192.168.3.57-ről jövő új TCP-kapcsolatot limitálsz. Elképzelhető, hogy a tervezett terhelésre elég a 8 új kapcsolat másodpercenként, de ezt külső körülmények is befolyásolják. Az OUTPUT láncra felesleges szabályt írni, mivel a default policy ACCEPT. Az ICMP-ből miért csak az echo request van beengedve? Mi történik az erről a gépről kezdeményezett kapcsolatok visszajövő forgalmával? Javasolnám a state modul használatát.