/sbin/ipfw add deny log tcp from any to 195.195.195.1 in via xl0 tcpflags urg,!ack

/sbin/ipfw add deny log tcp from any to 195.195.195.1 in via xl0 tcpflags psh,!ack

# Разрешаем ICMP-пакеты, только echo и echo_replay

/sbin/ipfw add allow icmp from any to 195.195.195.1 icmptypes 8 via xl0

/sbin/ipfw add allow icmp from any to 195.195.195.1 icmptypes 0 via xl0

/sbin/ipfw add deny log icmp from any to any via xl0

# Можно различным образом блокировать закрытые порты

# При запросе на закрытый порт можно просто отбрасывать пакеты

/sbin/ipfw add deny tcp from any to 195.195.195.195 136-139 in via rl0

# Можно отправлять в ответ tcp rst или icmp host unreachable на запросы к закрытым TCP- и UDP-портам,

# но такие ответы убыстряют сканирование и демаскируют межсетевой экран

/sbin/ipfw add reject udp from any to any in via rl0

/sbin/ipfw add reset tcp from 195.195.195.195 to any 136-139 in via rl0

# Разрешаем только корректные пакеты на порты публичных сервисов

/sbin/ipfw add pass tcp from any to 195.195.195.1 25 in via xl0 tcpflags syn,!ack,!psh,!fin,!urg,!rst

/sbin/ipfw add pass tcp from any to 195.195.195.1 25 in via xl0 tcpflags ack,!syn,!psh,!fin,!urg,!rst

/sbin/ipfw add pass tcp from any to 195.195.195.1 25 in via xl0 tcpflags ack,psh,!syn,!fin,!urg,!rst

/sbin/ipfw add pass tcp from any to 195.195.195.1 25 in via xl0 tcpflags ack,fin,!syn,!psh,!urg,!rst

Пример 2. Конфигурация межсетевого экрана IP-Filter (для ОС семейства *NIX)

Редактируем файл ipf.rules:

# IP options

block in log level local3.info quick on xl0 from any to 195.195.195.1 with opt ssrr

block in log level local3.info quick on xl0 from any to 195.195.195.1 with opt lsrr

block in log level local3.info quick on xl0 from any to 195.195.195.1 with opt rr

# TCP flags

block in log level local3.info quick proto tcp from any to 195.195.195.1 flags SF/SF