#

/sbin/ipfw add 13000 allow tcp from ${intnet} to ${mailserver} 25,110

/sbin/ipfw add 13010 allow tcp from ${mailserver} 25,110 to ${intnet}

#

/sbin/ipfw add 55010 allow tcp from any to any 1024-65534

/sbin/ipfw add 55020 allow tcp from any 1024-65534 to any

/sbin/ipfw add 55030 allow tcp from any 1024-65534 to any

/sbin/ipfw add 55040 allow tcp from any to any 1024-65534

/sbin/ipfw add 55050 allow udp from any to any 1024-65534

/sbin/ipfw add 55060 allow udp from any 1024-65534 to any

/sbin/ipfw add 55070 allow udp from any 1024-65534 to any

/sbin/ipfw add 55080 allow udp from any to any 1024-65534

# Deny all

/sbin/ipfw add 65534 deny ip from any to any

Создаем и редактируем скрипт rc.firewall.local.inet для работы с привилегированной группой адресов:

# vi /etc/ rc.firewall.local.inet

#!/bin/sh

intnet="192.168.9.0/24"

privgroup={31,32}

#

/sbin/ipfw delete 12310

/sbin/ipfw delete 12320

/sbin/ipfw delete 12330

/sbin/ipfw delete 12340

#

/sbin/ipfw add 12310 allow tcp from ${intnet}${privgroup} to any 20,21,80,443,1025-65535

/sbin/ipfw add 12320 allow tcp from any 20,21,80,443,1025-65535 to ${intnet}${privgroup}

/sbin/ipfw add 12330 allow udp from ${intnet}${privgroup} to any 20,21,1025-65535

/sbin/ipfw add 12340 allow udp from any 20,21,1025-65535 to ${intnet}${privgroup}

В скрипте для изменения состава привилегированной группы необходимо отредактировать переменную privgroup, добавив/удалив в ней номер хоста в локальной подсети.

Например, чтобы добавить два компьютера с IP-адресами 192.168.9.33 и 192.168.9.45, нужно записать «privgroup={31-33,45}».

Использовать правила типа «/sbin/ipfw delete NNNNN» при старте системы, когда такого правила не было – немножко некрасиво. При попытке удалить несуществующее правило система выдает на консоль сообщение следующего вида:

ipfw: rule 13031: setsockopt(IP_FW_DEL): Invalid argument