o TARPIT target faz parte do xtables_addons e só pode ser usado para conexões TCP; Se o seu sistema realmente tiver os alvos do xtables_addons, você pode usar esse alvo como uma forma de "assediar" qualquer invasor, já que enviá-lo para o TARPIT fará com que o script de verificação pense que a sessão TCP está ativa; simplesmente usar DROP pode ser evitado pelo invasor simplesmente usando um tempo limite de conexão curto.
Portanto, se você estiver executando regras de iptables para conexões tcp, você normalmente DROP - considere TARPIT ; Além disso, se você também estiver usando o rastreamento de conexão, mas incondicionalmente TARPIT -ing uma porta, adicione uma regra NOTRACK à sua tabela raw dessa porta para evitar o consumo de recursos do conntrack.