После подключения стрима с использованием 500G (режим маршрутизатора + NAT, IP-фильтрация включена, уровень безопасности High, защита от атак и DoS включена, своих правил не добавлял, остальное по умолчанию) и беглого ознакомления с тем, что получилось, возникли следующие вопросы (вы уж извините за возможное ламерство, но мануал и хелпы вроде бы дела не прояснили)

1. Сканер портов снаружи (http://scan.sygate.com/) говорит об открытых портах 260, 557 и периодически 53. Так оно и должно быть?
2. Возможно ли закрытый порт переводить в режим stealth? Web- сканеры рапортуют о закрытых, но видимых снаружи портах. Хотелось бы полной невидимости
3. Реально ли организовать статический порт-маппинг на один из адресов внутренней сети?
4. В PPPoE-сессии в режиме StartOnData после неактивности соединение восстанавливается где-то секунд через 20-30 - это нормально?
5. У меня все тесты до PPPoE server connectivity проходят нормально, а этот тест пишет FAIL и дальше все тесты SKIPPED. В чем может быть проблема? В интернет при этом хожу нормально. Вероятно, дело в специфике теста, не поддерживаемой Стримовскими протоколами?

53 порт задействован, если DSL-500G работает в качестве DNS relay.
Насчет 260 и 557....возможно как-то некорректно работает сканер.


Закройте firewall-ом весь ICMP. Сканеры портов вообще ничего не будут говорить. (касательно UDP портов)


Реально. См. здесь http://www.dlink.ru/technical/faq_internet.shtml#_4


Нормально. Это время требуется на установление VPN.


Вы сами ответили на свой вопрос.

Спасибо большое за ответы!


То есть, по идее, кроме 53 в режиме DNS relay, и HTTP, FTP, TELNET (если разрешен доступ снаружи) вообще ничего открытого в моем случае быть не должно?


И как, правильно ответил? То есть ни у кого, подключенного к Стриму, этот тест и не должен проходить? А то многие пугаются этого дела сильно, грешат на собственные руки или неисправность ...

Да.


Правильно. Если все и так работает, то зачем какие-то тесты.

Возвращаясь к теме невидимости портов - ICMP я закрыл, но сканеры маршрутизатор всё равно видят - как по TCP, так и по UDP. Как я понимаю, невидимость достигается, если хост на запрос на соединение (не важно, TCP или UDP) вообще ничего не отвечает. А 500G, даже если порт закрыт и соединение блокируется IP-фильтром, все равно вроде отвечает, что порт закрыт, т.е. обнаруживает себя. В настройках IP-фильтра возможные опции DENY и ACCEPT, а вот какого-нибудь IGNORE там нет... Соответственно вопрос: реально ли всё-таки на 500G c включенным NATом и "непроброшенными" портами организовать такой режим невидимости, как я описал выше?

Отвечу сам себе... Единственный способ, который удалось найти, заключается в организации DMZ c неиспользующимся IP-адресом локальной сети. Попробую теперь это реализовать...
http://shadow.sentry.org/~trev/adsl/stealth.html

От сканера зависит. Чем проверялось ? А закрывался ICMP входящий или исходящий ? если входящий, то это только от ping и tracert снаружи спасет, можно попробовать перекрыть весь исходящий (правда тогда с самого модема и с компов модем как роутер использующий пинговать тоже нельзя будет) ICMP - это частично решит проблему со сканерами. Точнее, если хочется "закрыть лишь что нужно, всё не трогать" - то закрываем (согласно http://www.ietf.org/rfc/rfc0792.txt) ICMP Destination Unreachable Message чтобы сканеры ожидающие при попытке обратиться к закрытому порту ICMP-сообщения "port unreachable" обломались
Конретно закрыть можно или ICMP type 3 code any или по-выбору нужные сообщения:
===
Type:
3
Code:
0 = net unreachable;
1 = host unreachable;
2 = protocol unreachable;
3 = port unreachable;
4 = fragmentation needed and DF set;
5 = source route failed.
===

Например, для перекрытия целиком type 3 сообщений ICMP, через telnet создаём правило:
----
create ipf rule entry ruleid 1 ifname public dir out act deny transprot eq icmp icmpcode any icmptype eq num 3 inifname all seclevel high medium low
---
результаты сканирования роутера после этого правила - лучше в эту ветку. если не сработает - тогда сюда название утилитки чем сканировали, чтобы понять как же она это делает

Всё очень хорошо получилось с пробросом всех портов на незадействованный адрес в локальной сети - поставил в NAT вторым правилом (BIMAP). Ни один из пяти он-лайн сканеров вообще ничего не нашел. Из минусов этого решения - не работает Traceroute и машина снаружи не пингуется. Жаль, что правило в NAT нельзя временно отключать, как это делается в IP-фильтре. Но всё равно оставил так - ИМХО защита непробиваемая...