Andei garimpando pelo forum e vi que existe a regra:
echo 1 > /proc/sys/net/ipv4/tcp_syncookies, para evitar syn floods.
Pergunto: essa regra, quando aplicada, serve para as polices de INPUT e FORWARD e tambem substitui a regra:
iptables -A INPUT -i ethx -p tcp --syn -m limit --limit 1/s -j ACCEPT ??