Als Beispiel soll hier eine Konfiguration gezeigt werden, die die Benutzung des finger-Dienstes
durch den Firewall völlig verbietet, telnet-Verbindungen durch den Firewall nur internen Hosts
erlaubt und mail sowohl von innen als auch von außen ungehindert passieren läßt. Alles andere
ist verboten (siehe Tabelle ![[*]](http://wwwbode.informatik.tu-muenchen.de/icons/latex2html-97.1/gif/cross_ref_motif.gif){kind=icon}
)).
| Nr. | Aktion | Source | Port | Dest. | Port | Bemerkung |
| 1 | block | * | * | * | finger | Vollständiges Verbot von Finger |
| 2 | allow | {our hosts} | * | * | telnet | interne Hosts dürfen Telnet nutzen |
| 3 | allow | * | * | * | smtp | Verbindungen zum Mail-Port sind immer erlaubt |
| 4 | block | * | * | * | * | Alles andere ist verboten |
Man erkennt, daß die einzelnen Regeln nur aus fünf Elementen bestehen, der Aktion sowie der Adresse und Portnummer des Senders bzw. des Empfängers. Die Regeln werden wiederum in der vorgegebenen Reihenfolge auf das eintreffende Paket angewandt, bis daß eine Regel zutrifft. Regel 1 verhindert finger-Verbindungen durch den Firewall zwischen beliebigen Sende- bzw. Empfangsadressen. Die Regel 2 dient nun dazu, den Hosts des internen Netzes die Möglichkeit zu geben, telnet-Verbindungen zu externen Hosts zu eröffnen, die von diesen natürlich ungehindert fortgesetzt werden können. Regel 3 erlaubt uneingeschränkte Nutzung des mail-Dienstes, während Regel 4 alle Verbindungen unterbindet, auf die keine der vorherigen Regeln angewandt werden konnte.
Auch beim TCP-Relay ist es natürlich wieder möglich, Gruppen von Rechnern zu bilden und ganze Portbereiche mit einer einzigen Regel zu gestatten oder zu verbieten.