Когда по умолчанию трафик запрещен, если вы начали настраивать фильтр пакетов удаленно, то на этом настройка, скорее всего, и закончится. Очистив фильтр, вы тем самым удалили правило, которое позволяло поддерживать вам удаленную сессию доступа. Для того чтобы этого не произошло, нужно было добавить команду, разрешающую трафик:

# ipfw -q flush && ipfw add 65000 allow ip from any to any

Теперь компьютер открыт всему миру, и в данном случае открытость – не самое лучшее его качество.

Нужно закрыть все лишнее. Пусть:

n  Трафик с адресами 127.0.0.0/8 разрешен только через интерфейс обратной петли;

n  Запрещается весь трафик, приходящий через внешний интерфейс (назовем его ${external}), если у него адрес отправителя или получателя относится к диапазону зарезервированных для внутреннего использования адресов;

n  Разрешаются только входящие TCP-соединения на 22, 25 и 80 порты, то есть мы принимаем соединения из Интернета, адресованные только нашему SSH, почтовому и веб-серверам;

n  Разрешены любые исходящие TCP-соединения, то есть мы можем соединяться с любым компьютером в Интернете, когда сами этого захотим;

n  Разрешается UDP-трафик на 53 и с 53 порта, то есть трафик, необходимый для работы DNS;

n  Разрешается прохождение исходящих эхо-запросов и входящих эхо-ответов, то есть мы можем пинговать внешние компьютеры, а они нас нет;

n  Весь остальной трафик должен быть заблокирован.

Запрет локального трафика не через локальный интерфейс выполняется правилами, которые уже стали традиционными при настройке фильтра пакетов:

# ipfw add 100 allow ip from any to any via lo0

# ipfw add 200 deny ip from any to 127.0.0.0/8

# ipfw add 300 deny ip from 127.0.0.0/8 to any

Первое правило разрешает любой трафик через интерфейс петли обратной связи lo0. Следующие два запрещают весь трафик, который приходит с зарезервированных адресов из сети 127.0.0.0/8. Правила 200 и 300 сработают только в том случае, если пакет прошел не через интерфейс lo0.

Трафик с адресами внутренних сетей (RFC 1918) не должен приходить через внешний интерфейс.

# ipfw add deny from any to 10.0.0.0/8 via ${external}

# ipfw add deny from any to 172.16.0.0/12 via ${external}

# ipfw add deny from any to 192.168.0.0/16 via ${external}

Такой же трафик не должен и уходить, хотя, в сущности, для нас это менее важно:

# ipfw add deny from 10.0.0.0/8 to any via ${external}

# ipfw add deny from 172.16.0.0/12 to any via ${external}

# ipfw add deny from 192.168.0.0/16 to any via ${external}

Ключевая часть фильтрации: мы хотим, чтобы из внешней сети были доступны только те сервисы, которые нужно, и не более того. Нужно, чтобы наш компьютер можно было удаленно администрировать с помщью SSH (22); он должен принимать почту по протоколу SMTP (25) и поддерживать веб-сервер (80):