n  <pTYP> – тип пакета (in/out);

n  [aLOG] – фиксировать ли в файле протокола описанные пакеты (log);

n  [aKEY] – ключевое слово quick, означающее, что если анализируемый пакет подпадает под данное правило, то дальнейший просмотр правил прекращается;

n  <nDEV> – устройство, физический интерфейс, на котором «искать» совпадение с правилом для пакетов;

n  [fastroute] – ключевое слово, используемое для сокрытия присутствия firewall как узла сети (пакет будет переправлен без изменения в TTL дальше по маршруту);

n  <tPROT> – протокол (ip/udp/tcp);

n  <aSRC> – адрес-источник пакета;

n  <aDST> – адрес-приемник пакета;

n  [pDST] – порт, на который адресован пакет;

n  [FLAGS] – управляющие флаги;

n  [KW] – директивы (keywords).

В угловых скобках приведены обязательные параметры/опции, а в квадратных соответственно те, наличие которых определяется конкретными обстоятельствами и не является безоговорочно обязательным.

Вооружившись этим представлением, создадим файл конфигурации, описывающий довольно простой набор правил.

К примеру, нам требуется дать возможность удаленным пользователям «снаружи» работать с FTP/HTTP(S)-сервисами[6], а нашему почтовому серверу – обмениваться почтой с окружающим миром по SMTP. Кроме того, необходимо описать правила для нашего DNS-сервера. Внешний интерфейс fxp1 имеет адрес 213.27.10.хх и маску 255.255.255.255, внутренняя сеть ограничена адресным пространством 192.168.10.0 и маской 255.255.255.0, что соответствует описанию сети как 192.168.10.0/24.

Руководствоваться для начала будем принципом «что не разрешено, то запрещено»[7]:

pass out quick on lo0 proto ip from 127.0.0.0/8 to 127.0.0.0/8

pass in quick on lo0 proto ip from 127.0.0.0/8 to 127.0.0.0/8

# Блокируем все входящие IP-соединения на lo0 из сети 127.0.0.0/8[8]

block in quick on lo0 proto ip from any to 127.0.0.0/8