rc.d: Add ipfw3 rc script
authorAaron LI <aly@aaronly.me>
Thu, 29 Mar 2018 14:12:33 +0000 (22:12 +0800)
committerAaron LI <aly@aaronly.me>
Fri, 30 Mar 2018 01:03:49 +0000 (09:03 +0800)
To use ipfw3, add 'ipfw3_enable=YES' to /etc/rc.conf .  By default, only
the 'ipfw3' and 'ipfw3_basic' modules will be loaded.  If you need more
ipfw3 modules, set them with 'ipfw3_modules="<modules> ..."' in
/etc/rc.conf .  See also the rc.conf(5) man page.

This ipfw3 rc script is largely based on the ipfw script.

The /etc/ipfw3.rules (a shell script) should be present to setup the
firewall rules, otherwise the default setup will block all incoming
connections, including your current connection!

NOTE:
I wrote this script for use in my VPS last year, but switched to
PF later, so more tests and improvements (e.g., flush tables on stop)
to this script are needed.

Reviewed-by: swildner
etc/defaults/rc.conf
etc/rc.d/Makefile
etc/rc.d/ipfw3 [new file with mode: 0644]
share/man/man5/rc.conf.5

index be165fb..56d7edf 100644 (file)
@@ -67,6 +67,10 @@ firewall_open_udp_ports="53"
 firewall_quiet="NO"            # Set to YES to suppress rule display
 firewall_logging="NO"          # Set to YES to enable events logging
 firewall_flags=""              # Flags passed to ipfw when type is a file
+ipfw3_enable="NO"              # Set to YES to enable ipfw3(8) firewall
+ipfw3_program="/sbin/ipfw3"    # where the ipfw3 program lives
+ipfw3_script="/etc/ipfw3.rules"        # Script to run to set up the firewall rules
+ipfw3_modules="ipfw3 ipfw3_basic"      # IPFW3 modules to be loaded
 ip_portrange_first="NO"                # Set first dynamically allocated port
 ip_portrange_last="NO"         # Set last dynamically allocated port
 ipsec_enable="NO"              # Set to YES to run setkey on ipsec_file
index 0b436b2..61d3a86 100644 (file)
@@ -10,7 +10,7 @@ FILES=        DAEMON LOGIN NETWORKING SERVERS \
        bootconf bootparams btconfig bthcid ccd cleanvar cryptdisks \
        cleartmp cron cryptdisks devd devfs dhclient diskless dmesg dumpon \
        fixbootfile fsck ftpd hostname hotplugd \
-       inetd initdiskless initrandom ip6fw ipfw ipsec \
+       inetd initdiskless initrandom ip6fw ipfw ipfw3 ipsec \
        jail keyserv \
        ldconfig local localdaemons lockd lpd lvm \
        mixer modules motd mountcritlocal mountcritremote \
diff --git a/etc/rc.d/ipfw3 b/etc/rc.d/ipfw3
new file mode 100644 (file)
index 0000000..46f2629
--- /dev/null
@@ -0,0 +1,89 @@
+#!/bin/sh
+#
+# Copyright (c) 2018 The DragonFly Project.  All rights reserved.
+#
+# This code is derived from software contributed to The DragonFly Project
+# by Aaron LI <aly@dragonflybsd.org>
+#
+# Redistribution and use in source and binary forms, with or without
+# modification, are permitted provided that the following conditions
+# are met:
+#
+# 1. Redistributions of source code must retain the above copyright
+#    notice, this list of conditions and the following disclaimer.
+# 2. Redistributions in binary form must reproduce the above copyright
+#    notice, this list of conditions and the following disclaimer in
+#    the documentation and/or other materials provided with the
+#    distribution.
+# 3. Neither the name of The DragonFly Project nor the names of its
+#    contributors may be used to endorse or promote products derived
+#    from this software without specific, prior written permission.
+#
+# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
+# ``AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
+# LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS
+# FOR A PARTICULAR PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE
+# COPYRIGHT HOLDERS OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT,
+# INCIDENTAL, SPECIAL, EXEMPLARY OR CONSEQUENTIAL DAMAGES (INCLUDING,
+# BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
+# LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED
+# AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY,
+# OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT
+# OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
+# SUCH DAMAGE.
+#
+
+# PROVIDE: ipfw3
+# BEFORE: NETWORKING
+
+. /etc/rc.subr
+
+name="ipfw3"
+rcvar=`set_rcvar`
+start_cmd="${name}_start"
+start_precmd="${name}_precmd"
+stop_cmd="${name}_stop"
+
+ipfw3_precmd()
+{
+       # Load firewall modules, if not already loaded
+       if ! ${SYSCTL} net.inet.ip.fw3.enable > /dev/null 2>&1; then
+               for _module in ${ipfw3_modules}; do
+                       kldload -n ${_module} || return 1
+               done
+       fi
+       return 0
+}
+
+ipfw3_start()
+{
+       # Load firewall rules
+       if [ -r "${ipfw3_script}" ]; then
+               . "${ipfw3_script}"
+               echo "Firewall ${name} rules loaded."
+       elif [ "`${ipfw3_program} list`" = "65535  deny" ]; then
+               echo 'Warning: kernel has firewall functionality, but' \
+                    'firewall rules are not enabled.'
+               echo '           All ip services are disabled.'
+       fi
+
+       # Enable the firewall
+       ${SYSCTL_W} net.inet.ip.fw3.enable=1
+       echo "Firewall ${name} enabled"
+}
+
+ipfw3_stop()
+{
+       ${ipfw3_program} -f flush
+       echo "Firewall ${name} rules flushed."
+
+       # XXX/TODO: also flush/delete lookup tables
+
+       # Disable the firewall
+       #
+       ${SYSCTL_W} net.inet.ip.fw3.enable=0
+       echo "Firewall ${name} disabled"
+}
+
+load_rc_config ${name}
+run_rc_command "$1"
index 0a33f6b..4ec0a11 100644 (file)
@@ -24,7 +24,7 @@
 .\"
 .\" $FreeBSD: src/share/man/man5/rc.conf.5,v 1.197 2003/07/28 13:56:00 mbr Exp $
 .\"
-.Dd November 25, 2017
+.Dd March 29, 2018
 .Dt RC.CONF 5
 .Os
 .Sh NAME
@@ -472,6 +472,27 @@ specifies a filename.
 .Pq Vt str
 The IPv6 equivalent of
 .Va firewall_flags .
+.It Va ipfw3_enable
+.Pq Vt bool
+Set to
+.Dq Li YES
+to enable
+.Xr ipfw3 8 .
+.It Va ipfw3_program
+.Pq Vt str
+Path to
+.Xr ipfw3 8 .
+.It Va ipfw3_script
+.Pq Vt str
+The full path to the shell script to run to set up the ipfw3
+firewall rules (default
+.Pa /etc/ipfw3.rules ) .
+.It Va ipfw3_modules
+.Pq Vt str
+List of ipfw3 modules to be loaded before executing the above
+.Va ipfw3_script .
+(default
+.Dq Li ipfw3 ipfw3_basic ) .
 .It Va natd_program
 .Pq Vt str
 Path to