If I'm not mistaken it's top to bottom correct?
Sim, corrija
And the catch-all default action at the end is to just drop any packets that don't match the rules above?
Possivelmente, mas não conte com isso. a ação padrão para uma determinada cadeia é determinada pela política dessa cadeia.
Você pode verificar a política atual com
[sudo] iptables -S
você verá algo como (neste caso, a política para cadeia de entrada = soltar)
-P INPUT DROP
e você pode definir a política (se atualmente é algo diferente) com
[sudo] iptables -P INPUT DROP
Should I be logging the dropped packets as well as the last rule if this is the case?
até você. Muitas pessoas fazem, basta fazer uma regra como essa
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
E posicione-o na parte inferior do seu conjunto de regras - assim, é a última coisa que corresponde ao pacote antes que ele receba DROP ed pela política da cadeia.
Por padrão, as mensagens de log serão enviadas para o mesmo arquivo de log do kernel, mas rsyslog permite que você defina seu próprio arquivo personalizado para logs de firewall