Правил можно сказать и нету, т.е. я всегда ставлю не заливать "дефолтовый конфиг". в правилах filter rules абсолютно пусто. но так же пробовал и с "дефолт конфигом".
Сейчас проверил и действительно с пингом при блокировки, конкретного хоста все нормально. А вот попробуйте допустим, отключить маскарадинг - и перед этим поставить ping ya.ru -t то он будет продолжать пинговать текущий хост и после отключения маскарадинга. После отключения начинаем пинговать mail.ru -t он не пингуется (ведь маскарадинг же выключен) включаем маскарадинг, и еще пару минут данный хост не будет отзываться! Хотя должен был бы уже. При этом любой новый хост который будет поставлен на ping после включения маскардинга - будет отвечать сразу.
Это жутко не удобно, если допустим работаешь с каким-нибудь постоянным хостом через интернет (например терминальным сервером), случается обрыв связи, твой пк все равно пытается восстановить связь, тем самым пытаясь отправить еще пакеты. Микрот переключается на резервный канал, но происходит примерно все тоже самое что я описал выше, в итоге твой простой выходит дольше. хотя инет уже на роутере есть.