Подскажите, пожалуйста, правило для iptables, что бы заблокировать все входящие соединения к определенному виртуальному домену веб-сервера.

да, tcp

по идее так #iptables -t filter -A INPUT -p tcp --dport 80 -s domain.ru -j DROP
но в листинге обрабатываемых запросов в апаче, я все равно вижу запросы к domain.ru

хм... хотя на самом деле все гораздо хуже.
я думал, что кто-то атакует домен, т.к. наблюдал в процесс-листе апача запросы с распределенных ИП адресов

128-0 29669 2/2/2 K 0.00 2 0 0.4 0.00 0.00 123.23.247.160 domain.ru GET /getdll.php?id=8b4ad69ef093436cbd28826d&verid=809 HTTP/1.1
129-0 29670 3/3/3 K 0.00 9 0 0.6 0.00 0.00 87.221.51.12 domain.ru GET /dl.php?f=<!DOCTYPE%20HTML%20PUBLIC%20\"-//IETF//DTD%20HTML%
130-0 29671 2/2/2 K 0.00 4 0 0.4 0.00 0.00 78.164.91.148 domain.ru GET /getdll.php?id=7cfb708345054d54b6e73df1&verid=809 HTTP/1.1
131-0 29672 3/3/3 K 0.00 9 0 0.6 0.00 0.00 213.102.121.47 domain.ru GET /dl.php?f=<!DOCTYPE%20HTML%20PUBLIC%20\"-//IETF//DTD%20HTML

но это просто был "дефолтный домен" для апача... я его прикрыл, и наблюдаю теперь тоже самое просто к другому домену. т.е. видимо атакуют просто сам сервер, большим количеством запросов к несуществующим файлам "/getdll.php?id=7cfb708345054d54b6e73df1&verid=809 HTTP/1.1"

Можно с этим что-то поделать?

По идее это запросы без имени виртуального домена в заголовках - можно их как-то выделить и отрезать на iptables?