Использование IPFW

Базовые статьи FreeBSD Handbook, ipfw, divert, dummynet

Общий вид правила:

[rule_number] [set set_number] [prob match_probability] action [log [logamount number]] [altq queue] [{tag | untag} number] body

action:

body: [proto from src to dst] [options]

proto (/etc/protocols), all

src,dst: any | me | table# | addr(+/mask) addrlist [ports]

ports: port,port-port[ports]

OPTIONS

LOOKUP TABLES — аналог таблиц маршрутизации (+/MASK), но +порт,jail#,IP и ifacename

SETS OF RULES — 0-31 (неубиваемый), нумерация правил общая, enable/disable/flush, move, swap

STATEFUL FIREWALL

    ipfw add check-state
    ipfw add allow tcp from my-subnet to any setup keep-state
    ipfw add deny tcp from any to any

Dynamic rules are created when a packet matches a keep-state or limit rule

ipfw -d -e show

DIVERT SOCKET:

DUMMYNET

LOG:

Д/З

Разбор группы правил из FreeBSD handbook.

Практиковаться можно на виртуальной машине FW