Добрый день .
1) отслеживать и обрывать half-opened TCP сессии непосредственно на файрволле (т.е. 3-way handshaking делает не конечное устройство, а сначала - файрволл, который потом передает это уже на конечное устройство) 2) UDP/ICMP - установить hard limit на пропускную полосу по принципу per-IP. IMHO разумное ограничение - ~0Kbps ICMP per IP-address (т.е. не запрещать полностью, но и практически не давать полосы) и 64-128Kbps UDP per IP-address. В идеале - ввести параметр границы параметра receive/send (что типа 0.1 - 10, точных цифр я не знаю), при выходе за которые фильтровать трафик нафик. Я думаю, что если задачу свести к таким требованиям, то соответственно требования к оборудованию тоже существенно упрощаются.
Да, это все делается средствами OpenBSD+pf. И вероятно так и будет делатся. Но лично мне нравится как работает d/g, только вот для small business сегмента решение слишком большое и дорогое. Хотя SMB SMBу рознь, конечно :)
Очень не плох в этом плане Router OS от Микротика , я для небольшой локалки использовал ряд примеров с http://wiki.mikrotik.com/wiki/Drop_port_scanners http://wiki.mikrotik.com/wiki/L7 http://wiki.mikrotik.com/wiki/Dmitry_on_firewalling ит.д. , удобны динамические листы блокировки ... и удобство настройки ... Насколько я знаю в этой оси стоит ядро Linux , фаервол похоже что iptables. Единственное что эта ОС стоит денег (~45$)