1. можно прописать прямо в rc.firewall

затем далее по тексту rc.firewall в секции Client
либо
2. Текст процедуры ban_ip можно вынести в отдельный файл, а в rc.firewall прописать


список ип можно поулчить соответственно командой

Hookisспасибо но сделал следующее

#!/bin/sh
ipfw table 1 flush

${fwCMD}00001 deny ip from "table(1)" to any via em0
cat /etc/ipfw_blockip | awk '{ if ($1!="") {system("ipfw table 1 add "$1"")} }' > /dev/null

а сответсвенно в ipfw_blockip добавляю ип, протестировал все работает.

Тож хороший вариант, но я с авк не дружу :)

Hookisи еще такой вопрос к вам будет

если я ставлю ограничение на соединение ИП адреса к серверу
${fwCMD}pass ip from any to any via em0 keep-state limit src-addr 2
- то данная команда работает!
но все остальные правила прекращают
например:
вот это перестает работать
${fwCMD}00811 pass tcp from 192.168.0.1 to any 22 in via re0 setup keep-state

....

не так скопировал на форум
${fwCMD}00001 deny ip from "table(1)" to any via em0
заменим
${fwCMD}00001 deny ip from "table(1)" to any via re0 - этот у меня сейчас в Ipfw

и
правило

${fwCMD}00811 pass tcp from 192.168.0.1 to any 22 in via re0 setup keep-state

так вот если первое правило работает, то прекращает 811 работать
если 1 правило закроем # то 811 начинает работать!
т.е. получается такое:
чтобы это работало, правила надо поменять местами,т.к. пакет попадая в фаервол проходит все правила последовательно, если не указано иное.
Правило № 1 говорит, что запретить все хождения из списка ip, которые лежат в table(1) куда бы то ни было, а правило №811 говорит, давайте-ка пустим пакеты с ипа 192.168.0.1 куда нибудь на 22 порт, но скорее всего пакет просто не доходит до этого правила вылетая на правиле №1.

приведите вывод

Вообще запутался, давай начнем с того, что необходимо сделать?

Если надо ограничить подключения на 2 порта только для одного адреса то надо писать так:
${fwCMD}00811 pass tcp from 192.168.0.1 to me 22 in via re0 setup keep-state

gR4mmЕсли надо ограничить подключения на 2 порта только для одного адреса то надо писать так:
${fwCMD}00811 pass tcp from 192.168.0.1 to me 22 in via re0 setup keep-state
*читать как "подключение на 22й порт"

http://www.freebsd.org/doc/en/books/handbook/firewalls-ipfw.html setup

This is a mandatory keyword that identifies the session start request for TCP packets.

keep-state

This is a mandatory keyword. Upon a match, the firewall will create a dynamic rule, whose default behavior is to match bidirectional traffic between source and destination IP/port using the same protocol.

limit {src-addr | src-port | dst-addr | dst-port}

The firewall will only allow N connections with the same set of parameters as specified in the rule. One or more of source and destination addresses and ports can be specified. The limit and keep-state can not be used on the same rule. The limit option provides the same stateful function as keep-state, plus its own functions.
т.е. первое правило неверно по сути.

попробуй прописать следующее

${fwCMD}pass ip from any to any via re0 limit src-addr 2
${fwCMD}00811 pass tcp from 192.168.0.1 to me 22 in via re0 setup keep-state
т.е. ограничиваем до 2х подключений с одного адреса и разрешаем заходить по ssh только с адреса 192.168.0.1.