65535        0           0 deny ip from any to any

Настройка «OPEN» предполагает добавление правила 65000, разрешающего все всем, так что неважно, с какими параметрами по умолчанию (правило 65535) собран ipfw.

Поиск совпадений в таблице ipfw прекращается сразу после первого же совпадения с правилом deny или allow. Этим можно воспользоваться, чтобы отфильтровать трафик от самого шлюза во внешнюю сеть к пользователям (правило 32000):

#!/bin/sh

fwcmd="/sbin/ipfw"

usernum=$2 ; address=$3

case $1 in

+)

    action=add

    if ! $fwcmd show $count_startnum >/dev/null 2>&1 ; then

           $fwcmd $action $count_startnum allow ip from me to any

    fi

    if ! $fwcmd show $usernum 2>/dev/null | grep -q $address

    then

           $fwcmd $action $usernum count ip from any to $address

    fi

    ;;

-)

    action=delete

    $fwcmd $action $usernum count ip from any to $address

    ;;

*)

    exit 1

    ;;

esac

В результате запуска count_gate таблица ipfw приобретает такой вид: