From 8c5a41f1fc5b5393ba4a14e5ca6c83d11ab7a183 Mon Sep 17 00:00:00 2001 From: Tom Eastep Date: Sun, 2 Aug 2009 09:28:26 -0700 Subject: [PATCH] Remove absurd rules --- docs/MyNetwork.xml | 49 +++++++++++++++++++++++++--------------------- 1 file changed, 27 insertions(+), 22 deletions(-) diff --git a/docs/MyNetwork.xml b/docs/MyNetwork.xml index a96d731ec..6d1ccf7d4 100755 --- a/docs/MyNetwork.xml +++ b/docs/MyNetwork.xml @@ -34,6 +34,11 @@ + + The ruleset shown in this article uses Shorewall features that are + not available in Shorewall versions prior to 4.4.0. + +
Introduction @@ -304,6 +309,26 @@ TCP_FLAGS_DISPOSITION=DROP there
+
+ /etc/shorewall/actions + + #ACTION +Mirrors # Accept traffic from Shorewall Mirrors +I make this into an action so the rather long list of rules + go into their own chain. +
+ +
+ /etc/shorewall/action.Mirrors + + #TARGET SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE +# PORT PORT(S) DEST LIMIT +COMMENT Accept traffic from Mirrors +ACCEPT $MIRRORS +See the rules file -- this + action is used for rsync traffic. +
+
/etc/shorewall/zones @@ -617,7 +642,6 @@ COMMENT ############################################################################################################################################################################### # Local Network to Firewall # -DNAT- $FW :127.0.0.1:3128 tcp 80 - - - !proxy NONAT drct - REDIRECT- loc 3128 tcp 80 - !66.199.187.46,172.20.1.108,206.124.146.177,155.98.64.80,81.19.16.0/21 ############################################################################################################################################################################### @@ -679,9 +703,9 @@ ACCEPT:$LOG dmz net tcp # ACCEPT dmz loc tcp 22 - - s:ssh:3/min:3 ############################################################################################################################################################################### -# DMZ to Firewall -- ntp & snmp,apcupsd, Silently reject Auth +# DMZ to Firewall -- ntp & snmp Silently reject Auth # -ACCEPT dmz fw tcp 161,ssh,3551 #3551 is the apcupsd NIS server on the firewall +ACCEPT dmz fw tcp 161,ssh ACCEPT dmz fw udp 161,ntp REJECT dmz fw tcp auth ############################################################################################################################################################################### @@ -699,25 +723,6 @@ ACCEPT fw dmz tcp ACCEPT fw dmz udp domain REJECT fw dmz udp 137:139 ############################################################################################################################################################################## -ACCEPT dmz fw tcp 161,ssh,3551 #3551 is the apcupsd NIS server on the firewall -ACCEPT dmz fw udp 161,ntp -REJECT dmz fw tcp auth -############################################################################################################################################################################### -# Internet to Firewall -# -REJECT net fw tcp www,ftp,https -DROP net fw icmp 8 -ACCEPT net fw udp 33434:33454 -ACCEPT net fw tcp 22 - - s:ssh:3/min:3 -ACCEPT net fw udp 33434:33524 -############################################################################################################################################################################### -# Firewall to DMZ -# -ACCEPT fw dmz tcp domain,www,ftp,ssh,smtp,https,993,465,587,5901 -ACCEPT fw dmz udp domain -REJECT fw dmz udp 137:139 -############################################################################################################################################################################## -# Avoid logging Freenode.net probes # COMMENT Freenode Probes DROP net:82.96.96.3,85.190.0.3 any