ipfw

все ненужные. откуда ненужно. ненужность портов определяется путем выявления нужности сервисов и постановки соответствия между сервисом и портом, например, посредством /etc/services. Можно, конечно, и спросить.

Закрыть ВСЕ порты. Открыть только нужные. Сколько народу погорело на обратном методе, когда "в мир" торчит все, что только можно представить...

Как определить какие нужн? а какие нет.

В одну руку /etc/services, во вторую -- список сервисов, которые должны торчать в инет. Например, если нужно соорудить доступный из мира веб-сервер, из инета должен быть открыт порт 80.

Если же из инета не должно быть ничего видно, не открываем вообще ни одного порта со стороны инета. У каждого сетевого интерфейса есть понятия "in" (пакет лезет из кабеля _В_ карту) и "out" (пакет лезет в кабель _ИЗ_ карты).