С FreeBSD начал разбираться недавно и заранее извиняюсь за возможнные ошибки.
Есть сревер на FreeBSD с apache + MYSQL для сайта и Firebird для внутренней БД, почтовый и фтп серверы не установлены. Во внутренней сети должна быть возможность работать с почтой, интернетом, ICQ заходить на фтп, а также иметь доступ к MySQL и FireBird (port 3050).
Снаружи должен быть виден сайт.
Нашел несколько примеров настройки ipfw, попытался сделать для себя.
Подскажите где ошибки и что можно добавить.

#!/bin/sh

# vvodim peremennie:
FwCMD="/sbin/ipfw"
LanIn="rl0"
LanOut="rl1"
IpOut="192.168.0.99"
IpIn="190.160.0.11"
NetMask="24"
NetIn="190.160.0.0"
NetOut="192.168.0.0"

# sbrasivaem ranee ustanowlennie prawila:
${FwCMD} -f flush

# proveryaem vremennie pravila:
${FwCMD} add check-state

############SECURITY##########
${FwCMD} add deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${FwCMD} add reject ip from ${NetIn}/${NetMask} to any in via ${LanOut}
# Deny X-scaning (reject)
${FwCMD} add reject tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
# Deny N-scaning (reject)
${FwCMD} add reject tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
# Deny FIN-scaning (reject)
${FwCMD} add reject tcp from any to any not established tcpflags fin
# Spoofing (reject)
${FwCMD} add reject from any to any not verrevpath in

# razreschaem vnutrenniy interfeys
${FwCMD} add allow ip from any to any via lo0

# otprawlyaem vseh ne SQUID: (No Squid yet - turn OFF)
# ${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}

########## NATD #########
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}

#############################################################################
#TCP with RST and ACK flag - for established connection
${FwCMD} add allow tcp from any to any established
#???
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
#Allow all form LanIn in LanIn
${FwCMD} add allow tcp from ${NetIn}/${NetMask} to any via ${LanIn}
#Allow DNS (do i need? server is not DNS server)
${FwCMD} add allow udp from any 53 to any via ${LanOut}
# icmptypes=8 - PING
${FwCMD} add allow icmp from any to ${NetIn}/${NetMask} icmptypes 0,8,11
# any FTP to Upper Ports of LanIn
${FwCMD} add allow tcp from any 20,21 to ${NetIn}/${NetMask} 1024-65534
# from IpIn to LanIn
${FwCMD} add allow ip from ${IpIn} to any via ${LanIn}
#Allow all in LanIn
${FwCMD} add allow all from any to any via ${LanIn}
#All WWW to IpOut
${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
#All SMTP to IpOut (Do I need? I have no Mail server)
${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}

# conenction limit
${FwCMD} add allow ip from any to any setup limit src-addr 10

Я еще пока не проверял, хотел проконсультироваться в плане дырявости, и лишних в моём случае правил, т.к. писал не с нуля а пользовался примерами

Для доступа в интеренет компьютеров локальной сети я добавил правило
${FwCMD} add 00520 allow tcp from ${NetIn}/${NetMask} to any via ${LanOut}
вроде все работает нормально
хотя почему то в примерах
${FwCMD} add 00520 allow tcp from ${NetIn}/${NetMask} to any via ${LanIn}

А возможно ли написать правило, которое для каждого внешнего ip адреса будет ограничивать трафик до определенного колличества мегабайт в день?
Тоесть если например с каокого либо ip скачали больше 10 мб то заблокировать до следующего дня