wipfw

# First flush the firewall rules
-f flush
# Localhost rules
add 100 allow all from any to any via lo*
# Prevent any traffic to 127.0.0.1, common in localhost spoofing
add 110 deny log all from any to 127.0.0.0/8 in
add 110 deny log all from 127.0.0.0/8 to any in
#Testing rules, to find ports used by services if we aren't sure. These rules allow ALL traffic to pass through the firewall, disabling any subsequent rules
#add 140 allow log logamount 500 tcp from any to any
#add 150 allow log logamount 500 udp from any to any

add check-state

# Далее с изменениями:
# Разрешаем входящий трафик ото всех в локальной защищенной сети к данному серверу и исходящий от сервера к локалке
add allow all from 192.168.1.0/24 to me in keep-state
add allow all from me to 192.168.1.0/24 out keep-state
# Разрешаем входящие соединения по 80 порту ото всех (и локалке и извне) к этому серверу
add allow tcp from any to me 80 in keep-state

# Разрешаем протоколы http, https, ftp на серваке
add allow tcp from me to any 80 out keep-state setup
add allow tcp from me to any 443 out keep-state setup
add allow tcp from me to any 21 out keep-state setup

# Блокируем фрагментированные пакеты, пакеты с established и сканирование
add drop all from any to any frag
add drop tcp from any to any established
add drop tcp from any to any tcpflags fin
add drop tcp from any to any tcpflags fin,syn,rst,psh,ack,urg
add drop tcp from any to any tcpflags !fin,!syn,!rst,!psh,!ack,!urg

# Ведём логи по ip
add count log ip from any to any
# И запрещаем всё остальное
add 65534 deny all from any to any