#サーバー：192.168.0.1
#インターフェース名:if0
#Webコンテンツアップロード用ホスト:192.168.0.10
#管理用ホスト:192.168.0.20
#時刻を問い合わせるNTPサーバー：192.168.0.123
#
#不正なIPパケットをすべて拒否し、そのパケット内容をログに出力する
#
block in log quick from any to any with short
block in log quick from any to any with ipopts 
#
#デフォルトで全てのパケット送信、受信を拒否する
#サーバーに対するインバウンド通信のフィルタをグループ「100」にする
#サーバーからのアウトバウンド通信のフィルタをグループ「200」にする
#
block in on if0 all head 100
block out on if0 all head 200
#
# NTPサーバーへの時刻問い合わせとその戻りを許可し、このフィルタをグループ「200」にグルーピングする
#
pass out quick proto udp from 192.168.0.1 to 192.168.0.123 port = 123 keep state group 200
#
# 管理用ホストからのSSH接続を許可し、このフィルタをグループ「100」にグルーピングする
#
pass in quick proto tcp from 192.168.0.20 to 192.168.0.1 port = 22 flags S/ASFR keep state group 100
#
# すべてのホストからのhttp,httpsの接続を許可し、このフィルタをグループ「100」にグルーピングする
#
pass in quick proto tcp from any to 192.168.0.1 port = 80 flags S/ASFR keep state group 100
pass in quick proto tcp from any to 192.168.0.1 port = 443 flags S/ASFR keep state group 100
#
# コンテンツアップロード用のホストからのFTP接続を許可し、サーバーに対するインバウンド通信のフィルタを
#グループ「100」、サーバーからのアウトバウンド通信のフィルタをグループ「200」にグルーピングする
#
pass in quick proto tcp from 192.168.0.10 to 192.168.0.1 port = 21 flags S/ASFR keep state group 100
pass out quick proto tcp from 192.168.0.1 port = 20 to 192.168.0.10 port > 1023 flags S/ASFR keep state group 200