Kdyz mas duvodne podezreni ze tvuj servr je kompromitovan, pak nezbyva nic jineho, jen shodit servr, vyndat disk, vlozit do jinyho, udelat disk image, a ten pak otestovat v jinem (zarucene cistem!) stroji. Zadny netstat ani rkhunter ti na kompromitovanem stroji nepomuzou...
Iptables samozrejme ma moznost omezit mnozstvi dat (--limit, --limit-burst), jenze tudy cesta nevede. Kdyz nekdo ziskal na tvem stroji root-a pak si muze delat co jen chce...