Ignore:
Timestamp:
2011-06-30T03:31:23+02:00 (5 years ago)
Author:
jow
Message:

[package] firewall:

  • allow multiple ports, protocols, macs, icmp types per rule
  • implement "limit" and "limit_burst" options for rules
  • implement "extra" option to rules and redirects for passing arbritary flags to iptables
  • implement negations for "src_port", "dest_port", "src_dport", "src_mac", "proto" and "icmp_type" options
  • allow wildcard (*) "src" and "dest" options in rules to allow specifying "any" source or destination
  • validate symbolic icmp-type names against the selected iptables binary
  • properly handle forwarded ICMPv6 traffic in the default configuration
File:
1 edited

Legend:

Unmodified
Added
Removed
  • trunk/package/firewall/files/firewall.config

    r26961 r27317  
    99config zone 
    1010        option name             lan 
    11         option network  'lan' 
    12         option input    ACCEPT  
    13         option output   ACCEPT  
    14         option forward  REJECT 
     11        option network          'lan' 
     12        option input            ACCEPT  
     13        option output           ACCEPT  
     14        option forward          REJECT 
    1515 
    1616config zone 
    1717        option name             wan 
    18         option network  'wan' 
    19         option input    REJECT 
    20         option output   ACCEPT  
    21         option forward  REJECT 
     18        option network          'wan' 
     19        option input            REJECT 
     20        option output           ACCEPT  
     21        option forward          REJECT 
    2222        option masq             1  
    23         option mtu_fix  1 
     23        option mtu_fix          1 
    2424 
    2525config forwarding  
    26         option src      lan 
    27         option dest     wan 
     26        option src              lan 
     27        option dest             wan 
    2828 
    2929# We need to accept udp packets on port 68, 
     
    3434        option dest_port        68 
    3535        option target           ACCEPT 
    36         option family   ipv4 
     36        option family           ipv4 
    3737 
    38 #Allow ping 
     38# Allow IPv4 ping 
    3939config rule 
    40         option src wan 
    41         option proto icmp 
    42         option icmp_type echo-request 
    43         option target ACCEPT 
     40        option src              wan 
     41        option proto            icmp 
     42        option icmp_type        echo-request 
     43        option family           ipv4 
     44        option target           ACCEPT 
     45 
     46# Allow essential incoming IPv6 ICMP traffic 
     47config rule                                    
     48        option src              wan 
     49        option dest             * 
     50        option proto            icmp 
     51        list icmp_type          router-solicitation 
     52        list icmp_type          router-advertisement 
     53        list icmp_type          neighbour-solicitation 
     54        list icmp_type          neighbour-advertisement 
     55        list icmp_type          echo-request 
     56        list icmp_type          destination-unreachable 
     57        list icmp_type          packet-too-big 
     58        list icmp_type          time-exceeded 
     59        option limit            1000/sec 
     60        option family           ipv6 
     61        option target           ACCEPT 
     62 
     63# Drop leaking router advertisements on WAN 
     64config rule 
     65        option src              * 
     66        option dest             wan 
     67        option proto            icmp 
     68        option icmp_type        router-advertisement 
     69        option family           ipv6 
     70        option target           DROP 
    4471 
    4572# include a file with users custom iptables rules 
Note: See TracChangeset for help on using the changeset viewer.