[mar]

Lanix
есть и немного совсем другой вариант - открыть нужный(ые) порты, а про все остальное потом написать, что оно закрыто.
Пример подобных правил со всякими вариантами:

Код:

# определение переменной
ipfw='/sbin/ipfw -q'
# сброс правил
${ipfw} -fq flush

# использование natd
${ipfw} add divert natd all from any to any via rl0 

# Разрешаем трафик по local интерфейсу
${ipfw} add pass all from any to any via lo0

# Разрешаем трафик только в пределах локальной сети (rl1)
${ipfw} add pass all from any to any via rl1 keep-state

# Запрещаем прохождение фрагментированных пакетов
${ipfw} add deny  all from any to any frag

# Разрешаем прохождение ICMP пакетов
${ipfw} add pass ICMP from any to any

# Разрешаем  пользователям ЛОКАЛЬНОЙ сети забирать почту по POP3 протоколу (rl0 - наружный интерфейс)
${ipfw} add pass  tcp from any to any 110 out via rl0 setup keep-state

# Разрешаем работу с HTTP протоколом (всем)
${ipfw} add pass tcp from any to any 80 keep-state

# Разрешаем работу с DNS серверами
${ipfw} add pass udp from any to any 53 keep-state

# Разрешаем traceroute работать, но не достигать нас.
${ipfw} add unreach port udp from me to any 33435-33524

# Broadcasts запрещены, но не записываются.
${ipfw} add deny all from any to 255.255.255.255

# Все остальное запрещено и заносится в протокол
${ipfw} add deny log all from any to any