none7

Попробуйте добавить в /etc/resolv.conf строчки
nameserver 2001:4860:4860::8888
nameserver 2001:4860:4860::8844
Может быть браузер видит только 127.0.0.53 и отказывается резольвить AAAA. Сервис systemd-resolved крайне глючный и может не находить имена по одной лишь ему известной причине.

По моему ваши iptables правила, абсолютно бессмысленные.
1. При маршрутизации пакета из интерфейса wlan0 в eth0 пришедшего с адресов интерфейса eth0, пропустить. Так как это невозможно без вмешательства злобного хакера, то игнор.
2. При маршрутизации пакета из интерфейса eth0 в wlan0 предназначенного для одного из адресов маршрутизируемых в eth0(как он вообще может быть направлен в сторону wlan0?). Так как это невозможно, игнор.
Все пакеты уходят в DROP настроенный по умолчанию.

А зачем Вам после dd форматировать флешку? После него флешка должна быть рабочей по крайней мере для режима legacy. Если хотите в режиме UEFI, то процедура сложнее! Для начала нужно создать при помощи gparted таблицу разделов GPT, создать и отформатировать раздел с fat32, скопировать на тот раздел файлы из ISO образа, отмонтировать и поставить на раздел метку boot. Если ISO-образ рассчитан на работу с GPT(а Win7 должен быть рассчитан), то флешка станет полноценно загрузочной для UEFI.
Но гораздо проще залезть в BIOS и выбрать Legacy загрузку.

Протянуть оптоволоконный кабель между двумя серверами. Как ещё можно исправить связь, качество которой от вашего желания не зависит никак. В ip сетях данные могут теряться, это аксиома. Даже сделав VPN в стиле tcp, окажется, что никто не будет долго ждать тех данных, что лежат в буфере роутера.

Также как и в случае TCP. Разница лишь в том, что NAT не может отслеживать разрыв UDP соединений и удаляет их по таймауту, но это уже заботы приложений.

Уязвимости Django льются как из рога изобилия. Так, что если захотят взломать, то взломают. Его нужно по умолчанию считать не доверенным кодом как JS в браузерах. Если эти ценные данные выдаются этим движком, то о об их секретности можете забыть. Защитить его можно только закрыв Web-сервер извне, а разрешать доступ только через VPN, например пробрасывая порты через ssh. Тогда слабым местом будут только клиенты. Впрочем в нынешние времена огромных ботнетов это вовсе не гарантия защиты.

В Android, каждое приложение запускается под отдельным пользователем. В таком виде трафик можно считать средствами iptables, журналируя состояния счётчиков раз в день и чаще. Красивый график можно получить в аналогах Excel. Журналировать трафик по приложениям невозможно уже потому, что приложение в Linux может без труда изменить своё имя.

В /etc/network/interfaces должно быть, что то вроде
iface eth0 inet6 auto #если есть такая строчка, то просто добавить строки ниже.
    up ip addr add $выбранный_адрес dev eth0
    down ip addr del $выбранный_адрес dev eth0

Хотя я не ручаюсь, что имя интерфейса именно eth0. Смотрите ip link show

Загляните на вкладку chrome://gpu и смотрите как декорируются видео. Возможно в вашем браузере при компиляции отключили vaapi или с вашим gpu был добавлен в чёрный список или youtube выдает хрому vp8-9, который не поддерживается вашим gpu, а фоксу h264.

Google: chroot user isolation
https://www.tecmint.com/restrict-ssh-user-to-direc...

Если червь такой хитрый и прячется во время активности пользователя, то делайте shell без tty на произвольном порту или вообще backconnect. Обычный sh, червь не должны подозревать. top конечно работать не будет, но ps aux вполне достаточно.
Можно так же добавить правило фаерволла, логировать все новые исходящие подключения. Логи мониторить скриптом, который будет узнавать UID, у netstat PID, а дальше уже, название программы и строку аргументов и хоть всё дерево процессов, если нужно. Но тут главная проблема не в черве, а в том, как он к Вам попал. И сколько резервных копий себя наплодил. Без хорошего знания системы, поможет только переустановка и то не факт, учитывая дыру.
P.S. Права на файлы, chroot и docker придумали не просто так. С изоляцией проще решать подобные проблемы.