iptablesでパケットのログをとってみました。
1日放置して傾向分析してみました。

ポートは1433/1434へのアクセスが多かったです。
これはSQLServer関連のポートのようです。
SQLServerなんてあげてないのでこれはスキャンとかその類の痕跡でしょう。

接続元IPに関しては
222.132.*
60.12.*
61.128.*
61.131.*
219.150.*
59.53.*
といったとこでした。どれも中国みたいです。

IPから国籍の判定はAPNIC(www.apnic.org)でできます。
ここでwhoisでIPを指定するとcountryってとこに
CNって出てれば中国からのアクセスという事です。
中国からは不正アクセスが多そうなので
中国系はばっさりとiptablesで弾いてしまってもいいかもしれません。
ちなみに、APNICはアジア圏のIPを管理しているグループですが、
他にも地域ごとにグループがあるようです。

あとは個別に。

IP＠140.90.128.70
140.90.128.70:80からアクセスがありました。
なんなのかな～って色々調べてみました。
するとどうやら天気系のとこみたいでした。
なんでそんなとこからアクセスがあるんだろう？
って散々悩んである事に気付きました。
そういえばX上に天気予報のアプリが動いていたような。
という事で多分これは解決。
といってもログが出ないように許可する必要があるけど
とりあえず判別はできたのでよしとします。
でもなんでESTABLISHEDとかRELATEDじゃないんでしょうね。

ポート＠25,80
まだwebサーバをあげてないので不正アクセスというか
単にドアをノックされてるだけというか。
これもほぼ中国系からのアクセスだと思います。

それ以外
UDP5353なんてものもありました。
これはAppleTVのものらしいです。
丁度macを繋げてみた時に出てた物でどうやらiTunes関連なのかな？
うちの場合iTunesの他にmacでTVも見てるのでそっちの可能性も考えられます。


と、大体ここら辺が1日ぐらいで拾えた部分です。
linuxから記事書いたら改行が全て無効（というか\r\nじゃないから？）に
なってたので、windowsで書き直してます。。
macだとどうなんでしょうね～。
今度試してみよう。