Samotná konfigurace IPFW

ipfw add deny tcp from evil.crackers.org to nice.people.org 23 via ed0

zakazuje komunikaci protokolem TCP od evil.crackers.org do portu 23 stanice nice.people.org jdoucí přes rozhraní ed0

ipfw add deny log tcp from evil.crackers.org/24 to nice.people.org

zakazuje a loguje komunikaci protokolem TCP ze sítě crackers.org a 24-bitovou maskou na jakýkoliv port stroje nice.people.org

Implicitně nastavený řetězec po instalaci, který zakazuje jakýkoliv přístup zvenčí:

allow 100 ip from any to any via lo0
deny 200 ip from any to 127.0.0.0/8
deny 65535 ip from any to any

Čísla označují pořadí v jakém se budou pakety porovnávat s pravidly řetězce, číslem 65535 je označené implicitní pravidlo, které nelze změnit, a které určuje implicitní chování firewallu.

Další příklady:

ipfw flush

smaže všechny řetězce a ponechá pouze implicitní pravidlo 'deny 65535 ip from any to any', tedy úplně uzavře síťovou komunikaci.

ipfw add fwd localhost,23 log tcp from evil.crackers.org to evil.crackers.org 23

přesměruje pakety jdoucí z evil.crackers.org na lokální počítač na port 23 na fbi.gov port 23.

Syntaxe příkazu ipfw:

ipfw [rule_number] [set set_number] [prob match_probability] action [log [logamount number]] body

rule_number .............. vzestupné číslo pravidla (implicitní a neměnné 65535). udává pořadí zpracování
set set_number ........... číslo množiny pravidel (1-30); lze takto seskupovat pravidla a manipulovat s nimy
prob match_probability ... float od 0 do 1; používá se s dummynet (například simulace cest paketů)
action ................... viz výše uvedené příklady
log [logamount number] ... zda logovat uvedené pakety pomocí syslog a jejich počet
body ..................... viz výše uvedené příklady