protegerse con iptables

Buenas, respondiendo tu pregunta inicial...
Un firewall, como iptables, o algun programa que lo utilice (como el caso de CSF firewall, que por decir, es una interface o programa que utiliza iptables de un modo un poco mas humano, o inclusive desde WHM en servidores cpanel), protejen en si, de intentos de acceso de ciertos tipos, o mas bien segun su configuracion, te pueden proteger de que su "Apache" por ejemplo, no abra 500 servidores al mismo tiempo tratando de atender a el "ataque" que pueda estar sucediendo a algun sitio, ya que el firewall bloqueara (o deberia) estos abusos al detectarlos.

Ahora bien... un ataque DDoS "real", en si, dificilmente sea sostenido por un firewall, ya que, en su mayoria, los ataques DDoS lo que hacen es COLMAR el ancho de banda del servidor al que atacan, de modo que, aunque tu servidor no tenga ni 0.20 de load porque tu cortafuegos es una maravilla, sucede que la "RED" en donde esta el servidor (usualmente 100Mbps o 1Gbps), pueda estar saturada de los paquetes que envia el DDoS, y un DDoS mediano, puede llegar facilmente a 10Gbps, inclusive uno pequeño pueda superar los 1Gbps.

Por lo que, para protegerse de un DDoS realmente, se debe contar en realidad con proteccion en el DATACENTER, a nivel del router principal, de modo que este trafico NO LLEGUE siquiera a tocar el firewall o siquiera el switch port en donde se aloja el dedicado.

Para que tengas en cuenta, un DDoS, se compone de multiples equipos infectados que se utilizan para enviar "algo" entre todos a algun lado. Si suponemos un botnet de unos 1000 equipos, y lo multiplicamos por, supongamos entre 1Mbps y 5Mbps de subida que tendran esas conexiones infectadas ... promediemos 2.5Mbps * 1000 = 2.5Gbps ... ya ves, aun por encima de un equipo con 1Gbps de conexion de red, no habria firewall que te salve, el servidor estaria practicamente offline sin intervencion del DC.

Espero les sirva la info!.

Saludos.