wipfw

[C_L_S]

Помогите разобраться с wipfw.conf
Нашел только этот мануал, для меня суховат.
Вот составил правила :

#!/bin/sh
#
#
cmd="./ipfw add"
# First flush the firewall rules
./ipfw -q -f flush
#Главное правило
deny all from any to any
#Блочит входящий ICMP
add allow icmp from me to any out keep-state

#запрещаем пакеты с небезопасными флагами
add deny tcp from any to any tcpflags fin,urg,psh
#запрет netbios rpc
add deny tcp from any to me 135,139,445,593 i
add deny udp from any to me 135,137,138
#DNS
add allow udp from me to any 53 keep-state
#разрешает vpn
add allow 47 from any to any
#Браузер
add allow 80 from me to any
#Почтовая программа для Gmail
add allow 465,587 from me to 72.14.253
add allow 995 from 72.14.253 to me
#ICQ
add allow any from me to 205.188.153.121

Где допустил ошибки
Возможно ли при помощи wipfw , разрешить доступ к 21,20 по маку , если да ,то приведите пример правила ?

[Pili]

Запрещающее правило deny all from any to any следует указывать в конце
разрешить доступ по маку нельзя, но можно так

#ftp
ipfw add allow tcp from any 1024-65535 to me 21 setup keep-state
#ftp-data (activ ftp)
ipfw add allow tcp from me 20 to any 1024-65535 keep-state
#passiv ftp (требуется дополнительно настройка фтп сервера)
ipfw add allow tcp from any 1024-65535 to me 11100-11120 keep-state

Форум wipfw на русском

[C_L_S]

Сенкс, про форум знаю... я думал он вымер =)

Запрещающее правило deny all from any to any следует указывать в конце

Хмммм , в iptables сначала вроде, правила которые просматривал на том же русском форуме там у всех сначала.
По маку фигово что нельзя пропускать =(
Ибо открывать доступ всем к 21 опасно , или я параноик =)

[Pili]

Даже в том мануале пишется, что запрещающие правила указываются в конце.
Админ д.б. немного параноиком Если есть желание, то открывайте не всем, а напр. так
allow tcp from table(1) 1024-65535 to me 21 setup keep-state
в табл. прописываете те адреса, котрым разрешаете доступ

[C_L_S]

Проблема в том что у людей динамический апи =)