Разобравшись с keep state, обратимся к следующему управляющему флагу keep frags и рассмотрим его назначение. Дело в том, что использование keep state почти решает проблему защиты от FIN-сканирования. А в задаче настройки фильтрации нет места «почти»-решениям. Флаг keep frags позволяет IPFilter отмечать и в дальнейшем отслеживать фрагментированные пакеты, пропуская только ожидаемые фрагменты и отфильтровывая подложные.

HTTP(S)

#http

pass in log quick on fxp1 proto tcp from any to 213.27.10.xx/32 port = 80 flags S keep state keep frags

Для данного сервиса нам потребуется описать только правило для входящих пакетов, ибо одно из последних правил будет выглядеть следующим образом:

pass out log quick on fxp1 from 213.27.10.xx/32 to any

Это позволяет не описывать правила для исходящих пакетов от нашего веб-сервера (подразумевается, что веб-сервер не будет самостоятельно инициировать TCP-соединения, а станет только отвечать на входящие запросы).

# https

pass out log quick on fxp1 proto tcp from 213.27.10.xx/32 to any port = 443 keep state keep frags

pass in log quick on fxp1 proto tcp from any to  213.27.10.xx/32 port = 443 keep state keep frags

Эти правила дадут возможность пользователям или приложениям использовать в работе протокол Secure HTTP.

Замечание. Следует помнить, что даже если все запросы на веб-ресурсы от пользователей в локальной сети принудительно перенаправляются на порт вашего proxy-сервера, для некоторых клиентских программ (в частности, использующих метод CONNECT) – таких как, например, binkd или ICQ – может понадобиться разрешение для адресов локальной сети на работу по соответствующим портам через интерфейс, который будет «охраняться» нашим межсетевым экраном, то есть в нашем случае – через интерфейс fxp1.

SMTP

pass out log quick on fxp1 proto tcp from 213.27.10.xx/32 to any port = 25 keep state keep frags

pass in log quick on fxp1 proto tcp from any to  213.27.10.xx/32 port = 25 keep state keep frags

DNS

pass in log quick on fxp1 proto udp from any to 213.27.10.xx/32 port = 53 keep frags

pass out log quick on fxp1 proto udp from 213.27.10.xx/32 to any port = 53 keep frags

pass in log quick on fxp1 proto tcp from any to 213.27.10.xx/32 port = 53 keep state keep frags

pass out log quick on fxp1 proto tcp from 213.27.10.xx/32 to any port = 53 keep state keep frags

Здесь нам понадобятся 4 правила, так как описываемый сервис использует в работе на транспортном уровне TCP и UDP, соответственно и правила фильтрации должны это учитывать.