Moin,

Addressfilterung ist OK

• Blocke nmap-Portscans (Nullscan, Xmas-Scan) anhand der TCP-Flags

Nein, jedenfalls nicht blind. Es gibt zum Beispiel einen Internetstandard zu Explicit Congestion Notification (RFC 3168) der vormals unbenutzte Flags benutzt und es gibt einen Haufen fehlkonfigurierter Paketfilter die solche Pakete einfach wegschmeissen, mit dem Effekt, dass viele Linux 2.4-Benutzer nicht mehr durch diese Filter kommunizieren können. -> RFC 3360

• Blocke unmögliche Pakete, die z.B. SYN und FIN gleichzeitig gesetzt
    haben (wie auch in der CERT-Meldung erwähnt)

Diese Kombination ist möglich und gehört zu einem experimentellen Standard namens T/TCP. -> RFC 1644

Nur mal so interessehalber, nutzt Ihr sowas, und würde es überhaupt was bringen?

Wenn man es falsch macht: Ärger.

--
Henryk Plötz
Grüße aus Berlin