Как правильно настроить ipfw для web сервера?

Question

[Сергей]

Есть простой веб сервер который хостит 10-20 доменов, нужен простой и корректный ipfw!

Answer 1

[ShamblerR]

ну судя по вашему не сильно развернутому вопросу даю не сильно развернутый ответ
закройте все проты кроме
TCP:20,21,22,25,53,80,110,143,443,587,993,995,3306,8080,10000,2812
UDP:53,3306
соответственно лишнее зачеркнуть.

Answer 2

[Magi]

Возникла аналогичная задача, только для домашнего веб-сервера на FreeBSD 10.1
Вот мои правила, но после них freebsd не может обновить порты, а joomla найти свои обновления и своих плагинов.
Подскажите, что не так?
# ipfw list
00015 reject log logamount 10000 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg via ae0
00016 reject log logamount 10000 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg via ae0
00017 reject log logamount 10000 tcp from any to any not established tcpflags fin via ae0
00018 deny log logamount 10000 ip from any to any not verrevpath in via ae0
00050 allow ip from any to any via lo0
00055 allow ip from me to any
00075 allow tcp from any to any established
00100 allow icmp from any to any
00150 allow ip from 192.168.1.1 to me via ae0
00151 allow ip from 192.168.1.5 to me via ae0
00155 allow tcp from me to any keep-state
00170 allow tcp from any to me dst-port 20,21,22,25,53,80,110,143,443,587,993,995,3306,8080,10000,2812 via ae0
00171 allow udp from any to me dst-port 53,3306 via ae0
00250 allow icmp from any to any out via ae0 keep-state
00255 allow udp from me to any keep-state
00255 allow ip from any to any dst-port 123 out via ae0
00300 allow tcp from any to any dst-port 22 out via ae0 setup keep-state
00355 allow icmp from me to any keep-state
65535 deny ip from any to any