Есть ли где-то описание того, как настроить субж в режиме роутера под оптимальные требования безопастности? Какие значения параметров искользовать, какие фильтры оставить, какие убрать?

Подключен к Стриму.

[quote="skudr"]Есть ли где-то описание того, как настроить субж в режиме роутера под оптимальные требования безопастности? Какие значения параметров искользовать, какие фильтры оставить, какие убрать?

Подключен к Стриму.[/quote]

имхо, т.н. "Stealth" - оно самое, в условях недетяких портсканов
Вариант - блокировать сразу сетки B-класса(напр 80.64.х.х)

Думаю, здесь нужно начать не с устройства, а с задачи - что Вам нужно получить? Для понимания общей логики настройки безопасности можно прочесть толковую книжку или несколько статей. А потом уже разработав политику безопасности реализовать ее в виде правил.

_________________
С уважением, Карагезов Владислав

Про безопасность я, в принципе, понимаю. Хочется достичь "невидимости", никаких сервисов у меня не работает за роутером. Сейчас я включил firewall с настройками по умолчанию и включил режим stealth как описано у вас в FAQ. Этого достаточно?

Хотелось бы еще чтобы в данной конфигурации работали ping, tracert и так далее, как написать соответствующее правило?

Нужно добавить правило, разрешающее ICMP.

Это я понимаю, а как его правильно написать? Весь ли ICMP траффик разумно разрешать?

1. Настройка правил фильтра ip пакетов хорошо описана в документации.
2. Вопросы безопасности каждый решает для себя.

[quote="Viktor Platov"][quote="skudr"]Это я понимаю, а как его правильно написать? Весь ли ICMP траффик разумно разрешать?[/quote]
1. Настройка правил фильтра ip пакетов хорошо описана в документации.
2. Вопросы безопасности каждый решает для себя.[/quote]

Сугубо imho, разумеется - icmp включать не особо разумно

Вы знаете другие способы? Поделитесь, будет весьма интересно.

[quote="Viktor Platov"][quote="Basiley"]
Сугубо imho, разумеется - icmp включать не особо разумно [/quote]
Вы знаете другие способы? Поделитесь, будет весьма интересно.[/quote]

? хм, ну если про диагностику - то, увы
Других вариантов нет.
Без ICMP - никак.
Другое дело, что ПОСТОЯННО держать включенным его поддержку - не больно-то разумно(не многим разумнее отрытия Netbios/SMB форточковладельцами, к примеру)

P.S. Сплю и вижу поддержку BGP/EBGP на SOHO-утройствах

Я открыл входящий ICMP для Host Unreacheble, Echo Reply и Datagram Timeout Exceeded. + включенный Stealth как описано в FAQ. Ping и Trace route работают.

Чем это плохо?