Мисълта ми беше, че ако клиентът е с реално IP и КЪМ него се отварят сесии, тогава трябва задължително да НЕ филтрираш port unreachable и fragmentation needed, иначе няма да работи например path mtu discovery и ако клиентът е с mtu по-малко от 1500 никой няма да може да се свърже КЪМ него (а той ще може). port unreachable пък ще бави опитите за отваряне на сесии, които той по някаква причина не приема (примерно icq). А ако е с фалшиво IP, тогава сесии към него и без това не могат да се отварят и можеш спокойно да филтрираш абсолютно целия ICMP протокол, а не само echo request.

Що се отнася до проверката на връзката, аз съм разрешил icmp от и до ip-сегментите, в които ни се намират рутерите и сървърите (те не се намират в същите мрежи, в които са клиентите).

Митко