n  CLOSED – разрешается только трафик через локальный интерфейс lo0. Прохождение остального трафика определяется правилом по умолчанию. Брандмауэр в режиме CLOSED закрыт только в том случае, если правило по умолчанию установлено ядром в deny.

n  UNKNOWN – брандмауэр никак не настраивается. Будет он пропускать трафик или нет, определяется конфигурацией ядра системы. Используется по умолчанию.

n  файл – правила брандмауэра загружаются из внешнего файла. Имя файла определяется значением переменной firewall_type. Дополнительные аргументы ipfw могут быть переданы с помощью firewall_flags. Файл должен содержать команды ipfw в том виде, в каком они указываются в его командной строке. Например:

add deny icmp from any to any

add deny ip from 1.2.3.4 to any

allow tcp from any to any established

В простейших случаях можно воспользоваться одним из этих вариантов, но если нужна более тонкая настройка, придется описывать правила фильтрации самостоятельно. Нужно создать файл, содержащий правила фильтрации и указать имя этого файла в качестве firewall_type.

Если нужно, чтобы шлюз выполнял трансляцию адресов, в /etc/rc.conf следует указать natd_enable=YES. Это приведет к тому, что при загрузке автоматически будет запускаться демон natd. Нужно указать еще natd_interface, для того чтобы natd знал, какой интерфейс является внешним, и natd_flags="-f /etc/natd.conf", чтобы natd знал, откуда ему брать свою конфигурацию. Можно описать конфигурацию natd прямо в этой строке и не выносить ее во внешний файл.

natd_enable="YES"

natd_inteface="lnc0"   

natd_flags="-f /etc/natd.conf"

Изменения конфигурации фильтра пакетов вступят в силу после перезагрузки компьютера. Чтобы они стали действительными прямо сейчас, можно выполнить[3]:

# sh /etc/rc.conf /etc/rc.firewall

При удаленном администрировании нужно быть осторожным, чтобы нечаянно не закрыть себе доступ к хосту.

Таблица 7. Некоторые параметры /etc/rc.conf