n  limit {src-addr | src-port | dst-addr | dst-port} N – вводит ограничение на число одновременных соединений, удовлетворяющих правилу. Все последующие (свыше N) соединения будут считаться не соответствующими данному правилу. Признаки src-addr, src-port, dst-addr и dst-port указывают, что учитываются пакеты с одного IP-адреса источника, с порта источника, на один адрес приемника или на порт приемника соответственно.

В качестве примера приведу правило, позволяющее ограничить число TCP-соединений на данную машину с одного IP-адреса (признак src-addr):

# ipfw add number allow tcp from any to me setup limit src-addr 5

Данное правило пропустит только первые 5 запросов на соединение (признак setup), поступившие с одного IP-адреса, а для остальных пакетов с этого адреса проверка на соответствие правилам будет продолжена, и в случае закрытого брандмауэра они будут отброшены после проверки всей цепочки правил.

n uid user – пакеты, посланные указанным пользователем или адресованные указанному пользователю;

n  gid group – пакеты, посланные пользователем, принадлежащим группе group или адресованные пользователю этой группы;

n  tcpwin win – TCP-пакеты с указанным размером окна приема (window);

n  tcpflags флаги – задает перечень флагов TCP-пакета, которые должны быть установлены. Допускаются значения fin, syn, rst, psh, ack и urg. Символ «!» перед именем флага означает, что данный флаг должен быть сброшен.

Любой из этих параметров может предваряться служебным словом «not», которое инвертирует значение параметра.

Как мы видели, один из способов сканирования портов удаленной машины – посылка пакетов с установленным флагом FIN. Такое сканирование может быть выполнено, например, с помощью команды:

# nmap –sF <host>

В нормальной ситуации данный флаг сигнализирует об окончании сеанса связи, но поскольку в данном случае связь не установлена, то запрошенная система отвечает сообщением об ошибке, по наличию которого хакер и определяет, открыт сканируемый порт или нет. Защититься от подобного сканирования можно с помощью следующего правила:

# ipfw add number reject tcp from any to any not established tcpflags fin

В соответствии с ним все TCP-пакеты с установленным флагом FIN, но не принадлежащие установленным соединениям (not established) будут отбрасываться.

Сканирование с установкой или сбросом всех флагов (параметры nmap –sX и –sN соответственно) можно сделать бесполезным, добавив в цепочку следующие два правила:

# ipfw add number reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg

# ipfw add number reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg

То есть если в пакете все флаги установлены или, наоборот, сброшены, то пакет будет отброшен соответствующим правилом.

От сканирования, выполняемого с параметрами nmap -sT и -sS («соединение» и «полусоединение»), нельзя закрыться запрещающим правилом, подобно изложенному выше, поскольку при данных методах сканирования соединение устанавливается (или начинает устанавливаться) в соответствии с протоколом TCP. Естественно, мы не можем запретить все пакеты, запрашивающие соединение с тем или иным портом. Однако поскольку и реакция на такие пакеты будет стандартной, то злоумышленник уже не сможет получить дополнительную информацию о системе, такую, например, как версия ОС. Кроме того, интенсивность сканирования можно существенно снизить, установив ограничение «limit» на число соединений с одного адреса (см. выше).