三、 IPFilter包过滤防火墙规则编写技巧

    在创建IPFilter包过滤防火墙规则的第一步是与用户咨询确定一个可接受的服务列表。许多公司会有—个可接受的使用策略，该策略会控制哪些端口应当可用和应当赋予用户启动的服务的权限。在你确定了开放的流入端口和外出的端口需求之后，最好是编写一条规则：首先拒绝全部数据包，然后编写另外的规则：允许使用的端口。你还必须设置两个方向启用允许的服务。例如．用户同时接收和发送电子邮件通常是必要的，于是你需要对sendmail(端口25)包括一条入站和出站规则。

    1.技巧一

    要阻止从 IP 地址 192.168.0.0/16 传入的流量，需要在规则列表中包括以下规则：
    block in quick from 192.168.0.0/16 to any
    下面的例子阻止来自b类网络178．222．0.0的任何数据包：
    block in quick from 178．222．0.0/16 to any

    2.技巧二

    通俗来说就是：禁止是block ，通过是pass ，进入流量是in，出去流量是out 。然后配合起来使用就行了，再加上可以指定在哪个网卡上使用，也就是再加个on pcn0，另外还有一个关键字就是all，这是匹配(禁止或者通过)所有的包。基于IP地址和防火墙接口的基本过滤方式：
    block in quick on hme0 from 192.168.0.0/24 to any
    block in quick on hme0 from 172.16.0.0/16 to any
    pass in all
    应用此规则将阻止通过hme0口来自于192.168.0.0和172.16.0.0网段的所有包的进入，但是允许其他网段的包进入到防火墙，同时对出去的包不作任何限制。

    3.技巧三

    基于IP地址和防火墙接口的完全双向过滤方式：
    block out quick on hme0 from any to 192.168.0.0/24
    block out quick on hme0 from any to 172.16.0.0/16
    block in quick on hme0 from 192.168.0.0/24 to any
    block in quick on hme0 from 172.16.0.0/16 to any
    pass in all

    应用此规则后将阻止通过hme0口来自于192.168.0.0和172.16.0.0网段的所有包的进入和外出，但是允许其他网段的包进入到防火墙，同时对出去的包不作任何限制。

    4.技巧四

    使用“port”关键字对TCP和UDP的端口进行过滤：
    block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 513
    block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 8080
    block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 23
    pass in all
    应用此规则后将阻止从192.168.0.0网段通过8080和23端口对防火墙内的数据通信，但是允许其他网段的包进入到防火墙，同时对出去的包不作任何限制。