ipfwのルールを変更してestablishルールを使わずkeep-stateとcheck-stateで動的にコネクションの張られたTCPパケットを通すようにした。
で、そのときに

SYN flood攻撃されたときにいらない動的ルールでいっぱいになる可能性がありそう。

と書いたのだけどその日のコメントに

そのための
net.inet.ip.fw.dyn_syn_lifetime
net.inet.ip.fw.dyn_short_lifetime
ですよ。

とあったのでマニュアルを見てみた。

これらの値は、動的ルールの生存時間を秒単位でコントロールします。
最初の SYN 交換の際には生存時間が短期 (short) になり、その後互い
の SYN が検出された後は増加させられ、最後の FIN 交換の間、または
RST を受信した際に再び減らされます。 dyn_fin_lifetime および
dyn_rst_lifetime は厳密に 5 秒 (キープアライブを繰り返す周期) よ
り短くなければなりません。ファイアウォールではこれが強制されま
す。

synと初回のSYN+ACKがルールに残る秒数がデフォルトで20秒と30秒だからいらない動的ルールも30秒程度で全部なくなるということでいいのだろうか。