Пара вопросов по DSL-500T. Режим роутера, прошивка V1.00B02T02.RU.20050223

1. как там увидеть текущие подключения? netstat отстуствует...
лучше cat /proc/net/ip_conntrack ничего не придумал, но это не совсем то, что надо.

2. Я правильно трактую набор фильтров iptables по умолчанию? (sorry за нубство, но я и есть noob )-
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere
*К модему приходят только установленные соединения TCP (а UDP?), пассивное открытие/закрытие не возможно, только активное?

Chain FORWARD (policy ACCEPT)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS set 1360
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere
* изменение MSS для активных открытый/закрытий, которые форвардятся? (criminally braindead ISPs or servers )? Не понятно мне...
* форвардить только установленные соединения и порожденнные ими?

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP icmp -- anywhere anywhere icmp destination-unreachable
DROP icmp -- anywhere anywhere state INVALID
* ну, тут все ясно

3. Посоветуйте пожалуйста минимальный набор фильтров для PPPoE соединения по aDSL, наверняка есть какие то важные нюансы защиты именно для этого типа подключения (из соображений "здравого смысла"), специфические порты и сервисы. Или хотя бы ссылку на тему где это обсуждается (устал уже поиском шуршать ). Фрагментация и т.д.

4. И вообще, что в принципе может "натворить" недоброжелатель (самый плохой вариант), проникнув на голый модем? Если нет на модеме никаких сервисов , ссылок на ДМЗ, S(D)NAT и т.д., а есть интерфейс в локалку и минимальный набор правил (см. выше)

5. Есть ли возможность автоматизировать загрузку правил при включении модема?

Ого, напостил Спасибо, тем, кто откликнется.