Если при создании правила указать keep-state, тогда при выполнении этого правила будет создано динамическое правило.
В мане на ipfw пишут
Код: Выделить всё
ipfw add check-state
ipfw add deny tcp from any to any established
ipfw add allow tcp from my-net to any setup keep-state
This will let the firewall install dynamic rules only for those connec-
tion which start with a regular SYN packet coming from the inside of our
network. Dynamic rules are checked when encountering the first
check-state or keep-state rule. A check-state rule should usually be
placed near the beginning of the ruleset to minimize the amount of work scanning the ruleset.
З.Ы. файервол работает, даже с отсутствием check-state. Почему?