в общем надоело гадать - поставил сниффер...
как я и думал - самый обычный исмп-пакет, только в его теле "для веса" классический пинг.ехе пишет просто алфавит (abcdef....), а WS_Ping пишет незамысловатое "WhatsUp - A Network Monitoring Tool's Ping Data WhatsUp" (поэтому и мин. 56 байт), а Нод ес-сно думает, что это Юстас Алексу секреты Родины передает... создатели проги хотели [S]как лучше[/S] пошутить, а получилось [I]как всегда[/I]

ЗЫ: программку прикрепил, если вдруг кто еще захочет поэкспериментировать... (старая добрая ... for Windows 95/NT от 2000 года )))

в пункте 9 нет ничего по моей проблеме
там говорится о внешних атаках, у меня же идет реакция на мои собственные пакеты (на какую-то лишнюю, но явно безобидную инфу внутри)

о невозможности этого, относительно фильтрации пакетов, я написал выше, если я чего-то не понял в настройках - подскажите как?

тема хорошая, нашел для себя некоторые интересные моменты, но по данной проблеме там тоже ничего (только в одном месте уже как самая-самая крайняя мера упомянуто "средство", про которое я писал в начале - отключение контроля за icmp)
это средство контроля - одно из глобальных правил, стоящее выше индивидуальных настроек и для конкретной программы похоже ничего не сделаешь...
и так и остается загадкой - за что же Нод ее пинги блочит...

просто некоторые наблюдения (это скорее разработчикам, имеет ли смысл это куда-то им скинуть?), раздел Служебные программы:
- журнал файрвола в 5-й версии (по отношении к 4-й) косячит - при включении полной ("диагностической") детализации она в журнале похоже остается на менее полном уровне - только сообщения о тех самых icmp (а в 4й версии там писался каждый сетевой чих)
- список сетевых подключений не показал тот самый WS_Ping не только в режиме пингования, но и в режиме опроса имен (udp-137, отображение ЮДП, ожидающих и внутренних соединений включено), другие более постоянные ЮДП-соединения он видит - может не хочет показывать короткоживущие запросы?..
- мониторинг сети и ФС - показывают красивые, но совершенно непонятные графики, точнее непонятное там - масштаб шкалы активности, который сильно скачет в зависимости от выбранного "шага"

так это сетевая утилитка-сканер, адреса могут быть какие угодно, тут нужно правило с привязкой к программе

День добрый!
Здесь нашлось 2 аналогичных темы, но обе закрыты, поэтому будет третья ))
В обоих темах решением проблемы было устранение источника пакетов, как мне показалось - безобидных, хотя похоже они действительно так отсылают какую-то техническую инфу производителям оборудования/дров.
В моем случае Нод аналогичным образом реагирует на пинги, генерируемые старой-доброй маленькой программкой-сканером "WS_Ping" - уж что она может пихать лишнего в пакет не знаю. Хотя видимо что-то таки пихает, т.к. дефолтный размер пакета (он же - минимальный, который в ней можно установить) - 56 байт, а у классического пинг.ехе - 32 байта (если в пинг.ехе выставить те же 56 байт и запретить фрагментацию - Нод на это не реагирует, значит реагирует именно на содержимое пакета)

Вот хотелось бы разобраться почему Нод так реагирует на некоторые (видимо нестандартные) пакеты. И что с этим делать. Т.к. устранение источника пакетов не всегда подходит в качестве решения, отключать контроль за icmp тоже не хотелось бы, а возможности настроить правила/исключения для icmp я не нашел.