# Фильтрация TCP-флагов

block in quick proto tcp from any to 195.195.195.1 flags SF/SFRA

block in quick proto tcp from any to 195.195.195.1 flags SFUP/SFRAU

block in quick proto tcp from any to 195.195.195.1 flags FPU/SFRAUP

block in quick proto tcp from any to 195.195.195.1 flags F/SFRA

block in quick proto tcp from any to 195.195.195.1 flags U/SFRAU

block in quick proto tcp from any to 195.195.195.1 flags P/P

# Разрешаем ICMP только echo request и echo reply

pass in quick on xl0 proto icmp from any to 195.195.195.1 icmp-type echoreq

pass in quick on xl0 proto icmp from any to 195.195.195.1 icmp-type echorep

pass out quick on xl0 proto icmp from 195.195.195.1 to any icmp-type echoreq

pass out quick on xl0 proto icmp from 195.195.195.1 to any icmp-type echorep

block in log-all quick on xl0 proto icmp from any to any

block out log-all quick on xl0 proto icmp from any to any

# Блокируем закрытые порты

block in log-all quick on xl0 proto tcp from any to 195.195.195.1 port 136 >< 140

block in log quick on xl0 proto udp from any to 195.195.195.1

# Фильтруем входящие пакеты на публичный сервис

pass in quick on xl0 proto tcp from any to 195.195.195.1 port = 25 flags S/SA synproxy state

Пример 4. Конфигурация межсетевого экрана PIX Firewall

В межсетевом экране PIX Firewall реализован механизм ASA, который отбрасывает не SYN-пакеты, которые не являются частью установленного соединения (2, 4, 6, 7 тесты NMAP), так что большая часть работы по защите от fingerprinting выполняется по умолчанию.

# Разрешаем исходящие ping

access-group 101 in interface outside

access-list 101 permit icmp any host 209.165.200.246 echo-reply

# Разрешаем входящие ping

access-list 101 permit icmp any host 209.165.200.246 echo