${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
${ipfw} add 210 reject ip from ${ournet} to any in via ${ifout}
Правила с номерами 200 и 210 служат для повышения хакероустойчивости системы: правило 200 запрещает появление пакетов с адресом, принадлежащим внутреней сети, на "внешнем" интерфейсе, т.к. любимое оружие хакера - представить свой "смертельный" пакет как-бы пришедшим из локальной сети, для которой степень доверия выше. Правило 210 запретит прохождения некоторых ICMP-пакетов: icmptype 5 - это пакет ICMP-REDIRECT, которй может быть использован при атаке типа "фальшивый маршрутизатор", остальные icmptype - просто раскроют хакеру некоторую "лишнюю" с нашей точки зрения информацию... Сюда же можно добавить другие защитные правила - любой "гуру" насыпет их Вам с три короба.
а для мисты - для начала сделайть заход на первую страницу с таймером, и только после нее на другие страницы
тоесть исключить прямые заходы типа http://www.forum.mista.ru есть куча технологий, ройте
про диверт не забудь и то что нат несколько отличается от иптаблесов
Я не хочу быть самым богатым человеком на кладбище. Засыпать с чувством, что за день я сделал какую-нибудь потрясающую вещь — вот что меня интересует. Стив Джобс