基本的に内側からの接続は許していて、
外部からはssh,ntp,dhcp,identとicmpを適当に設定しています。
udpの扱いがいまいち難しくてわかっていません。

firewallの方で...
137-139IN&OUTの他に
全てのアプリケーションを対象に

Code-red用で(TCP&UDP IN)
113.79.21.80.443.8080.143.110.25.23.2242.53.98-ANY IP-
ANY remote port

Trojan-trapで(TCP&UDP IN)
54320.54321.31337.12456.１2345.12346.20034-ANY IP-
ANY remote port

SNMPも恐いので(今回の修正で解決した?)
161.162番(TCP&UDP IN)-ANY IP-ANY remote port
で、閉めてます。

後は(TCP&UDP IN+OUT)
ローカルport
5000-65535.1-79
も閉めて使ってます。

開けるのはアブリ毎でport設定してます。(1024-5000番を基本に)RealとWMPがちょっとイマイチですが、危険なプラウザで多少開けすぎなのが難点です。(remoteで1024-5000も開けてます。)
メーカーのルールを基本に作ってるのですが、これって閉めすぎ?

ハードウェアルータ二段構え＋FreeBSD(98)のIPFW+TCP_Wiperの３枚板です。基本設定は、許可するものだけ設定してそれ以外は拒否です。

ウチのルータ（BEFSR41）はWAN→LAN方向のパケットフィルタリングができないので、WAN→LANについてはIPマスカレード＆リクエストブロック機能に任せています。LAN→WAN方向についてはポート135〜139、445、22と23をとりあえず閉めていますが後は通しですね。

OPEN：ssh，ftp-data，ftp-ctrl，http，https，smtp，pop，icq(4000)，IRC
で必要な物以外の侵入は全て deny でたたき落としてます．
上のポートもほぼ全て内側に置いてあるサーバーに向けて Port Redirect してます．
また，ICMP を any to any にしてますね．
でないとなぜか外から来た HTTP リクエストに対して返辞してなかったので・・・．
あとはちょこちょこっと小細工かな．
# 蛇足ながら SMTP は AmAViS で受信時にウイルスチェック，鯖内のデータは 1日 1回の定期見回り，1週間に 1度の全ディレクトリチェックやってます．
# SAV の最新パターン更新は自作の更新チェッカで更新されている場合は自動で最新版にするようにしてます．

激安のソフトウエアプロトコルアナライザ見つけました、BJDの作者さんが作ってます。
因みに今日最新版が出ました。


#家のサーバで取りこぼしが時々有りますが、（不審パケットと検出される事が有る）
#ICMPを弾いてます、これが原因かな？

ファイアウォールなんてなぃのでIngressフィルタとうるさいポート(謎)以外は全開です
後は手動IDSとか手動ウィルススキャナとか(意味不明)

ちゃんとFirewall-1とか置いてみたいな〜(ぉぃ)