Das ist grundsätzlich richtig, aber ich bekomme trotzdem im Internet meistens ein Timeout, wenn der Rechner zur IP-Adresse nicht erreichbar ist. Die IP-Adresse kann ja durchaus vergeben sein und wird bis zum Zielhost weitergeroutet. Ob der Zielhost dann darauf antwortet oder nicht, ist den Routern zwischendrin egal, solange sie eine Route zum Weiterleiten kennen.
Außerdem behaupte ich einfach mal ganz frech, dass sich die meisten "Script-Kiddies Hacker-Tools" um diesen Unterschied nicht kümmern, sondern einfach nach der Devise "Kommt kein Ping zurück => weiter zur nächsten IP" handeln.
@Lappen: Einen Ping Request blockieren, sollte es so funktionieren:
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
Gibt dann halt den angesprochenen "Timeout" anstatt ein "Host Unreachable".
Ob das deiner auth.log "Phobie" hilft, weiß ich allerdings nicht. Möglicherweise solltest du auch die laufenden Dienste (sshd, ftp, usw) "verstecken" - sprich: auf andere Ports legen.