[Comm] непонятки со squid

[Andrew Fefilov]

Добрый день, уважаемые.

Вот довелось тут мне понастраивать squid на М2.2, и возникли у меня
вопросы, которые сам разрешить не смог и которых не было во времена М2.0.
Squid настраивается на гейтовом ящике, который одним концом смотрит в
инет, а другим во внутренню локалку. Настраивается на обслуживание
запросов только из локальной сети.
Короче дело вот в этих строке из squid.conf :

udp_incoming_address 0.0.0.0

В коментариях конфига написано, что :

#    udp_incoming_address    is used for the ICP socket receiving
packets from other caches.

Так. Мне это не нужно. Поэтому устанавливаю:

icp_port 0

отрывая тем самым, как мне кажется, вообще возможность общаться по ICP.
Запускаю squid, затем netstat -pan --inet, вижу вот это:

udp        0      0 0.0.0.0:1027            0.0.0.0:*
1527/(squid)

Непонятно. Ладно, правлю squid.conf вот так:

udp_incoming_address 192.168.1.40

Т.е. заставляю слушать udp на внутреннем интерфейсе локалки.
Поскольку DNS-сервер используется провайдерский, то этим отрывается нормальный
резолвинг для squid, что делает его фактически неработоспособным.
Что я упускаю? Чем грозит мне вариант конфига с "udp_incoming_address
0.0.0.0" с точки зрения безопасности? И почему, собственно, для того,
чтобы отрезолвить имя сквиду надо держать постоянно открытый upd-порт?

-- 
С уважением,
Фефилов Андрей.