I device filter bloccano i frame a livello 2 e quindi sull'interfaccia senza andare a scomodare i protocolli, mentre i protocol filter permettono il passaggio dei frame ma filtrano i dati in base al protocollo scelto.

Che filtro hai settato per impedire il ping al router dall'interno? L'ideale e` impostare un filtro per bloccare gli icmp in toto (protocol 1) e bindarlo alla ethernet.

Attenzione: devi settarlo in modo che lasci passare tutto tranne gli icmp, quindi nel filter set dovrai avere un action matched-drop, action not matched-forward riguardo al protocol 1, volendo discriminando fra gli indirizzi sorgente.

Sicuramente hai l'accesso bloccato perche` gli hai detto si` di bloccare gli icmp ma non di lasciar passare gli altri.