за фряхой - дмз, внутренний шлюз и пр.
интересуюсь...

http://www.opennet.ru/

прочитал... задумался...
интересно, когда мисту ддосят, Волшебник входящий траффик от ддосеров оплачивает?

тогда уж лучше вот так

http://www.seteved.ru/content/view/253/29/

нашел...

${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}

Правила с номерами 200 и 210 служат для повышения хакероустойчивости системы: правило 200 запрещает появление пакетов с адресом, принадлежащим внутреней сети, на "внешнем" интерфейсе, т.к. любимое оружие хакера - представить свой "смертельный" пакет как-бы пришедшим из локальной сети, для которой степень доверия выше. Правило 210 запретит прохождения некоторых ICMP-пакетов: icmptype 5 - это пакет ICMP-REDIRECT, которй может быть использован при атаке типа "фальшивый маршрутизатор", остальные icmptype - просто раскроют хакеру некоторую "лишнюю" с нашей точки зрения информацию... Сюда же можно добавить другие защитные правила - любой "гуру" насыпет их Вам с три короба.

а какие другие защитные правила?

(4) ИМХО там просто: всё, что не разрешено, то запрещено...

(5)+1 Сначала всё запретить.А потом открывать по мере надобности.

Снимите с меня эту кепку!

(4)
не поможет

а для мисты - для начала сделайть заход на первую страницу с таймером, и только после нее на другие страницы
тоесть исключить прямые заходы типа http://www.forum.mista.ru
есть куча технологий, ройте

+(9)
хотяяя -тоже не поможет
но все таки...

про диверт не забудь и то что нат несколько отличается от иптаблесов