ISPConfig3 devel
blame | history | raw
latham
2011-06-30 181529089411d6f55333b22d169e87d3f5137eb5 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78

#


# rules.before


#


# Rules that should be run before the ufw command line added rules. Custom


# rules should be added to one of these chains:


#   ufw-before-input


#   ufw-before-output


#   ufw-before-forward


#


 


# Don't delete these required lines, otherwise there will be errors


*filter


:ufw-before-input - [0:0]


:ufw-before-output - [0:0]


:ufw-before-forward - [0:0]


:ufw-not-local - [0:0]


# End required lines


 


 


# allow all on loopback


-A ufw-before-input -i lo -j ACCEPT


-A ufw-before-output -o lo -j ACCEPT


 


# connection tracking rules


-A ufw-before-input -m state --state RELATED,ESTABLISHED -j ACCEPT


 


# drop INVALID packets (logs these in loglevel medium and higher)


-A ufw-before-input -m state --state INVALID -j ufw-logging-deny


-A ufw-before-input -m state --state INVALID -j DROP


 


# connection tracking for outbound


-A ufw-before-output -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


-A ufw-before-output -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


 


# ok icmp codes


-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT


-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT


-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT


-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT


-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT


 


# allow dhcp client to work


-A ufw-before-input -p udp --sport 67 --dport 68 -j ACCEPT


 


#


# ufw-not-local


#


-A ufw-before-input -j ufw-not-local


 


# if LOCAL, RETURN


-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN


 


# if MULTICAST, RETURN


-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN


 


# if BROADCAST, RETURN


-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN


 


# all other non-local packets are dropped


-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny


-A ufw-not-local -j DROP


 


# allow MULTICAST, be sure the MULTICAST line above is uncommented


-A ufw-before-input -s 224.0.0.0/4 -j ACCEPT


-A ufw-before-input -d 224.0.0.0/4 -j ACCEPT


 


COMMIT


 


# nat Table rules


*nat


:POSTROUTING ACCEPT [0:0]


 


-A POSTROUTING -s 192.168.5.2/24 -o eth0 -j SNAT --to 192.168.5.105


 


-A PREROUTING -p tcp -d 192.168.5.105 --dport 80 -i eth0 -j DNAT --to-destination 192.168.5.200:80 


 


# don't delete the 'COMMIT' line or these rules won't be processed


COMMIT