share/examples/ipfilter/ipf.conf.restrictive

   1 # $FreeBSD: src/share/examples/ipfilter/ipf.conf.restrictive,v 1.1.2.1 2002/04/27 20:04:18 darrenr Exp $
   2 # $DragonFly: src/share/examples/ipfilter/ipf.conf.restrictive,v 1.2 2003/06/17 04:36:57 dillon Exp $
   3 #--------------------------------------------------------------------------
   4 # ed1 - external interface
   5 # fxp0 - internal interface
   6 #--------------------------------------------------------------------------
   7 # First, nasty packets which we don't want near us at all
   8 # packets which are too short to be real except echo replies on lo0
   9 pass in log quick on lo0 proto icmp from 127.0.0.1/8 to 127.0.0.1/8 with short
  10 block in log quick all with short
  11 block in log quick all with opt lsrr
  12 block in log quick all with opt ssrr
  13 #--------------------------------------------------------------------------
  14 # loopback packets left unmolested
  15 pass in log quick on lo0 all
  16 pass out log quick on lo0 all
  17 #--------------------------------------------------------------------------
  18 # Group setup:
  19 # 100 incoming ed1
  20 # 150 outgoing ed1
  21 # 200 incoming fxp0
  22 # 250 outgoing fxp0
  23 #--------------------------------------------------------------------------
  24 block in log body on ed1 all head 100
  25 block out log body on ed1 all head 150
  26 #--------------------------------------------------------------------------
  27 block in log on fxp0 all head 200
  28 block out log on fxp0 all head 250
  29 #--------------------------------------------------------------------------
  30 # incoming ed1 traffic - group 100
  31 # 1) prevent localhost spoofing
  32 block in log quick from 127.0.0.1/32 to 192.168.0.0/24 group 100
  33 block in log quick from 127.0.0.1/32 to 192.168.1.0/24 group 100
  34 block in log quick from any to 127.0.0.1/8 group 100
  35 #--------------------------------------------------------------------------
  36 # 2) deny pakets which should not be seen on th internet (paranoid)
  37 block in log quick from 10.0.0.0/8 to any group 100
  38 block in log quick from any to 10.0.0.0/8 group 100
  39 block in log quick from 172.16.0.0/16 to any group 100
  40 block in log quick from any to 172.16.0.0/16 group 100
  41 block in log quick from 192.168.0.0/16 to any group 100
  42 block in log from any to 192.168.0.0/16 group 100
  43 # 3) implement policy
  44 # allow incoming ftp-data
  45 pass in log quick proto tcp/udp from any to 192.168.1.1/24 keep state group 100
  46 # if nothing applies, block and return icmp-replies (unreachable and rst)
  47 block return-icmp(net-unr) in proto udp from any to any group 100
  48 block return-rst in log proto tcp from any to any group 100
  49 #--------------------------------------------------------------------------
  50 # outgoing ed1 traffic - group 150
  51 # Setup outgoing DNS
  52 pass out log quick proto tcp/udp from any to 212.40.0.10 port = 53 keep state group 150
  53 pass out log quick proto tcp/udp from any to 212.40.5.50 port = 53 keep state group 150
  54 # allow outgoing http-service
  55 pass out log quick proto tcp from any to any port = 80 flags S/SA keep state keep frags group 150
  56 # allow outgoing smtp traffic
  57 pass out log quick proto tcp from 192.168.1.1/24 to any port = 25 flags S/SA keep state group 150
  58 # allow outgoing pop3 traffic
  59 pass out log quick proto tcp from 192.168.1.1/24 to any port = 110 flags S/SA keep state group 150
  60 # allow outgoing ftp traffic
  61 pass out log quick proto tcp/udp from 192.168.1.1/24 to any port = ftp keep state group 150
  62 pass out log quick proto icmp from any to any keep state keep frags group 150
  63 #--------------------------------------------------------------------------
  64 # incoming traffic on fxp0 - group 200
  65 #--------------------------------------------------------------------------
  66 # 1) prevent localhost spoofing
  67 block in log quick from 127.0.0.0/8 to any group 200
  68 block in log quick from 192.168.0.1/32 to any group 200
  69 block in log quick from 192.168.1.110/24 to any group 200
  70 pass in log quick from any to any group 200
  71 #--------------------------------------------------------------------------
  72 # outgoing traffic on fxp0 - group 250
  73 #--------------------------------------------------------------------------
  74 block out log quick from 127.0.0.0/8 to any group 250
  75 block out quick from any to 127.0.0.0/8 group 250
  76 block out log quick from any to 192.168.0.1/32 group 250
  77 pass out log quick from any to nay group 250
  78 #--------------------------------------------------------------------------