Hi Predender,
vielleicht hast Du schon Deine Frage beantwortet bekommen, falls nicht:
- incoming Access-Liste auf dem äusseren Interfaces zum Ausfiltern der unerwünschten Source-IPs (Anti-Spoofing, RFC1918er Netze, 127er etc...)
- desweiteren sämtlichen Verkehr auf das Router-Interface verbieten.
steht der Router im Internet und spricht BGP? Falls ja, musst Du BGP auf den Router erlauben.
- no ip unreachable auf den Interfaces: es werden keine ICMP
administartively prohibited Messages an den Absender des verworfenen
Paketes gesendet! (Wozu dem Angreifer sagen, dass sein Paket am Punkt X
verworfen wird?
Gruss