#Сброс всех существующих правил;
-f flush

# Localhost rules;
# Разрешение работать через петлю;
add allow all from any to any via lo*
# Запрет на принятие/отправку пакетов петли;
# add deny log all from any to 127.0.0.0/8 in
# add deny log all from 127.0.0.0/8 to any in

add check-state
# Запрещаем фрагментированные пакеты;
add drop all from any to any fragment
# Запрещаем tcp пакеты с установленным флагом established;
add drop tcp from any to any established

# Защита от сканирования;
add drop tcp from any to any tcpflags fin
add drop tcp from any to any tcpflags fin,syn,rst,psh,ack,urg
add drop tcp from any to any tcpflags !fin,!syn,!rst,!psh,!ack,!urg

# Запрет принятия пакетов с частных сетей;
# add deny ip from any to 0.0.0.0/8 in via
# add deny ip from any to 10.0.0.0/8 in via
# add deny ip from any to 172.16.0.0/16 in via
# add deny ip from any to 192.168.0.0/24 in via

# Входящие соединения;
# Открыть порт 27015 UDP для сервера CS и дать возможность 10 коннекстам с одного IP
add allow 27015 udp from any to me in limit src-addr 10
#add allow 80 tcp from any to me in limit src-addr 10 # IIS/Skype;
#add allow 443 tcp from any to me in limit src-addr 10 # IIS/Skype;
#add allow 21 tcp from any to me in limit src-addr 10 # FTP;
add allow 3389 tcp from any to me in keep-state setup # RDP - Remote Desktop Protocol;
# Разрешить все входящие соединения;
#add allow all from any to me in keep-state

# Исходящие соединения;
#add allow tcp from me to any 80 out keep-state setup
#add allow tcp from me to any 44405 out keep-state setup
#add allow tcp from me to any 55901 out keep-state setup
# Разрешить все исходящие соединения;
add allow all from me to any out keep-state

# Логирование трафика, не прошедшего ни одного правила;
add count log all from any to any

# Блокируем всё что не вошло;
add drop all from any to any
deny ip from any to any