В локальной сети стоит дфл на выходе, делаю трейс до любого хоста,в маршруте появляются сначала 2 неизвесных хоста которые не откликаются, следом идет шлюз провайдера потом пошел маршрут нормально, делаю трассировку до самого файрвола, маршрут успешно доходит до шлюза но перед ним опять 2 этих неизвестных хоста, делаю трассировку до любого другого компа в сети, маршут чистый.
Этот шлюз соединен с двумя такими-же шлюзами по ipsec, при трассировке в другую подсеть через тоннель появляется уже 3 таких неизвесных хоста.
Наблюдение: ставлю обыкновенный роутер за 1500 рублей, трейс чистый.
Вывод: если маршрут как то касается шлюза появляются 2 непингуемых и неопределяемых хоста.
Причина исследования: начал регулярно отваливаться майл сервер и сайт расположеный где-то в германии, появились проблемы с торговой площадкой росельторг, очень тяжело на нее входит, остальной инет работает без проблем.
Вопрос: что это за хосты? как они влияют на функционирование сети?

Для нормальной работы ping/traceroute через DFL:
1) System/Adv Settings/IP Settings/TTL Min = 1
2) Правило для пропуска ICMP, в сервисе которого стоит галка "Pass returned ICMP error messages from destination". Сервис может быть ping-outbound (галка стоит по умолчанию), icmp-all, all-services или что то свое, это не важно.

Все сработало, спасибо, а зачем ttl сделан 3 минимум, зачем вообще этот параметр там?? Почему не сделать по умолчанию 1 и все???

Это нечто вроде защиты от выяснения сетевой инфраструктуры извне.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

YuriAM. Ну извне и так всё обычно закрыто, даже ping на wan_ip многие отрубают (хотя по-моему, это перебор).
Так что, скорее защита от исследования изнутри .

Вот это поворот))) Серьезный подход к делу))
Спасибо за разъяснение.

Ну ХЗ. теоретически DFL может стоять в сетевой инфраструктуре с белыми подсетями и MinTTL = 3 или больше не позволяет обращениям снаружи выяснить эту структуру точнее.

Хотя сам я тоже считаю, что для обращений изнутри MinTTL надо делать =1.

Что же относительно пинга снаружи, я не хочу чтобы "кто попало" мог пинговать мой девайс снаружи. Поэтому, когда это возможно и уместно, я разрешаю пинг снаружи только для группы "доверенных адресов".

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.