MG> tcp syn proxy проверка валидности (досягаемости начального узла /
MG> инструмент при проверке на спуф).
Не понял... Насколько я представляю себе устройство современных NAT'ов,
если к тебе прилетел TCP SYN, единственное, как ты можешь проверить
досягаемость узла - это (вообще говоря, неоднократно) отправить обратно
SYN+ACK и подождать, что пришлют в ответ - продолжение сессии, ICMP
чего-нибудь-unreacheable, TCP RST или вообще проигнорируют. Причем
отправить SYN+ACK может только тот сервис, который там висит - у
файрвола этот номер не пройдет.