L'option startx -- -no-listen tcp lance le serveur X (via le script xserverrc) avec une option qui l'amène à ne pas accepter de connexion TCP (et partant, à ne pas "écouter" les demandes de connexion sur le port TCP 6000).
Extrait du man Xserver:
-nolisten trans-type disables a transport type. For example, TCP/IP connections can be disabled with -nolisten tcp. This option may be issued multiple times to disable listening to different transport types.
Si le serveur X est lancé depuis gdm, ce point est réglé dans le fichier /etc/X11/gdm/gdm.conf, par la variable DisallowTCP de la section [security].
La documentation (en anglais) est à l'adresse:
http://www.jirka.org/gdm-documentation/x241.html
"DisallowTCP=true
If true, then always append -nolisten tcp to the command line of local X servers, thus disallowing TCP connection. This is useful if you do not care for allowing remote connections, since the X protocol could really be potentially a security hazard to leave open, even though no known security problems exist".
Il est possible de positionner directement cette variable sans éditer le gdm.conf en utilisant sous Gnome: paramètres système -> écran de connexion -> sécurité -> toujours interdire les connexions X au démarrage (interdit les connexions distantes). Le programme peut aussi être dans une console sous les droits root par gdmsetup.