Je me demande si ce n'est pas pour économiser tout le trafic de scan qui est envoyé a toutes les IP publiques.
Quand on regarde sur une IP publique, il y a en permanence du trafic.
Il est vrai qu'il existe un "bruit de fond" du net, surtout les ports des protocoles Windows (Netbios, SMB...), Unix (ssh), et des serveurs et proxy HTTP. (Si ils trouvent un serveur accessible, ils font des scan de nom de d'utilisateur et de mot de passe...)
N'importe quel PC bien configuré n'a strictement rien à craindre de ce genre de choses. Mais ça reste une pollution; moi, je n'aime pas voir des paquets non désirés dans mon tcpdump, parce que c'est une distraction! Des connexions ssh non désirées, c'est aussi du temps CPU perdu (des exponentielles de grand nombres entiers calculées pour rien), et aussi des lignes de log qui sont sans intérêt : encore une distraction.
Même si on sait qu'on n'a rien à craindre de ce genre d'attaque (p.ex. si sshd n'accepte que des logins par clé publique), on peut vouloir s'en protéger.
Petit trafic mais suffisant pour réserver les ressources radios (pour simplifier, elles sont libérées en cas d'absence de trafic pendant quelques secondes).
Je ne savais pas.
De toute façon, on peut avoir envie de bloquer un certain type de trafic entrant avant la boucle locale. J'ai toujours été favorable à ce que l'utilisateur puisse placer un pare-feu sur le DSLAM, même le plus simple pare-feu sans état.