>[оверквотинг удален]
>>>-A INPUT -i eth1 -s //SIP PROV -j ACCEPT
>> не имеет никакой значимости. Его наличие или отсутствие, в контексте обсуждаемой задачи,
>> ничего не меняет.
> 1. Если я сейчас сделаю по дефолту политику дроп, открою только исходящие
> соединения и входящие из локальной сети, то мы сразу потеряем все
> следы нежелательной активности.
> 2. По поводу почтового трафика, подскажите как изловить? У меня этот вопрос
> возникает регулярно.
> Nethogs помогает только в онлайне. Tcpdump не фиксирует процесс генерирующий трафик.
> 3. IPtables ставил паровозом с fail2ban 1. Логи ведутся? Сохраняйте на внешний носитель (сетевой диск, флешку, настройте удаленный syslog).
2. Логи ведутся? Изучайте. В Linux есть команда netstat. Один из ключей показывает процесс, который открывает порт. Дальше копать почему, кто и какое содержимое пересылается.
3. При чем тут iptables на локальной машине с Asterisk. Закройте периметр. Потом изучайте что происходит на сервере и в локальной сети.
Судя по тому, что вы не понимаете что происходит в вашей сети, то вам явно нужен кто-то, кто сможет разобраться что происходит и как это исправить. Форумы в данном конкретном случае не самое хорошее решение в соотношении "скорость решения/качество/стоимость".