1) при включенном хв-оффлоаде траффик до фильтра не доходит. и никакие правила не будут "действовать".
2) смушает название интерфейса, это езернет или что-то иное?

Да.. всё равно нужно было сдавать.
Автоматы давали, когда "в подвале" кодил на благо универа.
Я полгода так "поработал", не моё и они не особо сдерживали обещания.

закрывать ICMP моветон, как правило его закрывают те, кто не понимают для чего он нужен.
Он не спасёт тебя от сканирования, не спасёт от атаки изнутри, не спасёт от атаки снаружи.
Ты может колличество ICMP пакетов/за время порезать, что бы через ICMP сеть не досили, например. Или ограничить ICMP New конекшены снаружи

но не дропать весь ICMP

Это понятно.. Всякие сто и прочее

Но держать в офисе хр это как то странно

Контора жлобская какая то

Так и есть.

Но это при чем не малый и не бедный холдинг

Бежать нужно оттуда

Бандиты с 90х, есть несколько ТК в собственности, огромные помещения, сети магазинов... но оборудование всё - помойка.

присматриваю куда)

Значит начальник ит не может нормально обосновать целесообразность обновления парка компов

он сидит за хорошую зп, вот и помалкивает, а меняют что то при крайней необходимости

2) аксес порт, на коммутаторе настроены вланы

Есть ещё вопрос с лицензией

я вот с тобой и не спорю, что закрытие пинга это мегасекурность. я просто привел пример того, что его закрытие особо не влияет ни на что, например для нашей конторы с более чем в 1к рабочих мест. ну политика безопасности у нас такая.
у меня две учетки, одна админская, вторая простая. если я три раза введу какой-то пароль не правильно, то сразу звонят безопасники и спрашивают, а ты и это)

у меня сервера, роутеры смотрят в мир и пинг на них не закрыт. но если бы был закрыт, то это для них было бы не смертельно

Вы ещё про кривой ttl и редмректы забываете

На хп?

*шепотом* не забывают, а не знают)