~ubuntu-branches/debian/sid/shorewall/sid

« back to all changes in this revision

Viewing changes to Samples/one-interface/shorewall.conf.annotated

• browse files at revision 68
• compare with another revision
• download diff
• download tarball
• view history from revision 68

Show diffs side-by-side

added

removed

Samples/one-interface/shorewall.conf.annotated

419

419

#

420

420

# NFACCT=[pathname]

421

421

# 

422

 

#     Added in Shorewall 4.5.7. Specifies the pathname of the nfacct utiliity. If

423

 

#     not specified, Shorewall will use the PATH settting to find the program.

 

422

#     Added in Shorewall 4.5.7. Specifies the pathname of the nfacct utility. If

 

423

#     not specified, Shorewall will use the PATH setting to find the program.

424

424

# 

425

425

PERL=/usr/bin/perl

426

426

#

464

464

#     removing this file allows Shorewall to work with your distribution's

465

465

#     initscripts. For RedHat and OpenSuSE, this should be set to /var/lock/

466

466

#     subsys/shorewall. For Debian, the value is /var/lock/shorewall and in LEAF

467

 

#     it is /var/run/shorwall.

 

467

#     it is /var/run/shorewall.

468

468

# 

469

469

TC=

470

470

#

540

540

#

541

541

# RSH_COMMAND="command"

542

542

# 

543

 

#     Eariler generations of Shorewall Lite required that remote root login via

 

543

#     Earlier generations of Shorewall Lite required that remote root login via

544

544

#     ssh be enabled in order to use the load and reload commands. Beginning with

545

545

#     release 3.9.5, you may define an alternative means for accessing the remote

546

546

#     firewall system. In that release, two new options were added to

554

554

#     RSH_COMMAND: ssh ${root}@${system} ${command}

555

555

#     RCP_COMMAND: scp ${files} ${root}@${system}:${destination}

556

556

# 

557

 

#     Shell variables that will be set when the commands are envoked are as

 

557

#     Shell variables that will be set when the commands are invoked are as

558

558

#     follows:

559

559

# 

560

560

#     root - root user. Normally root but may be overridden using the '-r'

877

877

#     accepted. So for packets going from the 'loc' zone to the 'net' zone,

878

878

#     ESTABLISHED/RELATED packets are ACCEPTED in the 'loc2net' chain.

879

879

# 

880

 

#     If you set FASTACCEPT=Yes, then ESTABLISHED/RELEATED packets are accepted

 

880

#     If you set FASTACCEPT=Yes, then ESTABLISHED/RELATED packets are accepted

881

881

#     early in the INPUT, FORWARD and OUTPUT chains. If you set FASTACCEPT=Yes

882

882

#     then you may not include rules in the ESTABLISHED or RELATED sections of

883

883

#     shorewall-rules(5).

998

998

#     etc/iproute2/rt_tables database when there are entries in /etc/shorewall/

999

999

#     providers. If you set this option to Yes while Shorewall (Shorewall-lite)

1000

1000

#     is running, you should remove the file /var/lib/shorewall/rt_tables (/var/

1001

 

#     lib/shorewall-lite/rt_tables) before your next stop, refresh, restore on

 

1001

#     lib/shorewall-lite/rt_tables) before your next stop, refresh, restore on 

1002

1002

#     restart command.

1003

1003

# 

1004

1004

#     The default is KEEP_RT_TABLES=No.

1020

1020

#     preserves the legacy behavior of start -f (the modification times of the

1021

1021

#     files in /etc/shorewall are compare with that of /var/lib/shorewall/

1022

1022

#     restore). If set to No, then the times are compared with that of /var/lib/

1023

 

#     shorewall/firewall, which is consistant with the way that restart -f works.

 

1023

#     shorewall/firewall, which is consistent with the way that restart -f works.

1024

1024

# 

1025

1025

MACLIST_TABLE=filter

1026

1026

#

1144

1144

#     prohibit to set the type of route to be created. See http://

1145

1145

#     www.shorewall.net/MultiISP.html#null_routing.

1146

1146

# 

1147

 

OPTIMIZE=31

 

1147

OPTIMIZE=All

1148

1148

#

1149

1149

# OPTIMIZE=[value]

1150

1150

# 

1152

1152

#     category is associated with a power of two. To enable multiple optimization

1153

1153

#     categories, simply add their corresponding numbers together.

1154

1154

# 

 

1155

#     Beginning with Shorewall 4.5.20, you may specify OPTIMIZE=All to enable all

 

1156

#     optimization categories, and you may also specify OPTIMIZE=None to disable

 

1157

#     optimization.

 

1158

# 

1155

1159

#       ● Optimization category 1 - Traditionally, Shorewall has created rules

1156

1160

#         for the complete matrix of host groups defined by the zones, interfaces

1157

1161

#         and hosts files. Any traffic that didn't correspond to an element of

1165

1169

#         rule is considered to be redundant when it has the same ACTION and Log

1166

1170

#         Level as the applicable policy.

1167

1171

# 

 

1172

#         Note

 

1173

# 

 

1174

#         Optimization level 1 is ignored when optimization level 4 is also

 

1175

#         selected, since level 4 performs similar optimizations in a more robust

 

1176

#         way.

 

1177

# 

1168

1178

#       ● Optimization category 2 - Added in Shorewall 4.4.7. When set,

1169

1179

#         suppresses superfluous ACCEPT rules in a policy chain that implements

1170

 

#         an ACCEPT policy. Any ACCEPT rules that immediately preceed the final

 

1180

#         an ACCEPT policy. Any ACCEPT rules that immediately precede the final

1171

1181

#         blanket ACCEPT rule in the chain are now omitted.

1172

1182

# 

1173

1183

#       ● Optimization category 4 - Added in Shorewall 4.4.7. When set, causes

1224

1234

#         are considered compatible if they differ only in their destination

1225

1235

#         ports and comments.

1226

1236

# 

1227

 

#         A sequence of combatible rules is often generated when macros are

 

1237

#         A sequence of compatible rules is often generated when macros are

1228

1238

#         invoked in sequence.

1229

1239

# 

1230

1240

#         The ability to combine adjacent rules is limited by two factors:

1232

1242

#           ○ Destination port lists may only be combined up to a maximum of 15

1233

1243

#             ports, where a port-pair counts as two ports.

1234

1244

# 

1235

 

#           ○ Rules may only be combined until the length of their concatinated

 

1245

#           ○ Rules may only be combined until the length of their concatenated

1236

1246

#             comment reaches 255 characters.

1237

1247

# 

1238

1248

#         When either of these limits would be exceeded, the current combined

1239

 

#         rule is emitted and the compiler attemts to combine rules beginning

 

1249

#         rule is emitted and the compiler attempts to combine rules beginning

1240

1250

#         with the one that would have exceeded the limit. Adjacent combined

1241

1251

#         comments are separated by ', '. Empty comments at the front of a group

1242

1252

#         of combined comments are replaced by 'Others and'. Empty comments at

1253

1263

# 

1254

1264

#         Example 2:

1255

1265

# 

1256

 

#             Rules with comments <empty>, "FOO" and "BAR" would reult in the

 

1266

#             Rules with comments <empty>, "FOO" and "BAR" would result in the

1257

1267

#             combined comment "Others and FOO, BAR". Note: Optimize level 16

1258

1268

#             requires "Extended Multi-port Match" in your iptables and kernel.

1259

1269

# 

1313

1323

#     specified labels but can have the undesirable side effect of causing routes

1314

1324

#     to be quietly deleted. When RETAIN_ALIASES is set to Yes, existing

1315

1325

#     addresses will not be deleted. Regardless of the setting of RETAIN_ALIASES,

1316

 

#     addresses added during shorewall start are still deleted at a subsequent

 

1326

#     addresses added during shorewall start are still deleted at a subsequent 

1317

1327

#     shorewall stop or shorewall restart.

1318

1328

# 

1319

1329

ROUTE_FILTER=No

1329

1339

#     to No, then route filtering is disabled on all interfaces except those

1330

1340

#     specified in shorewall-interfaces(5).

1331

1341

# 

 

1342

#     Important

 

1343

# 

 

1344

#     If you need to disable route filtering on any interface, then you must set

 

1345

#     ROUTE_FILTER=No then set routefilter=1 or routefilter=2 on those interfaces

 

1346

#     where you want route filtering. See shorewall-interfaces(5) for additional

 

1347

#     details.

 

1348

# 

1332

1349

SAVE_ARPTABLES=No

1333

1350

#

1334

1351

# SAVE_ARPTABLES={Yes|No}

1335

1352

# 

1336

1353

#     Added in Shorewall 4.5.12. If SAVE_ARPTABLES=Yes, then the current

1337

 

#     arptables contents will be saved by shorewall save command and restored by

 

1354

#     arptables contents will be saved by shorewall save command and restored by 

1338

1355

#     shorewall restore command. Default value is No.

1339

1356

# 

1340

1357

SAVE_IPSETS=No

1418

1435

#     passed to the PREROUTING rules. Since TRACK_PROVIDERS was just introduced

1419

1436

#     in 4.4.3, this change should be transparent to most, if not all, users.

1420

1437

# 

 

1438

TRACK_RULES=No

 

1439

#

 

1440

# TRACK_RULES={Yes|No}

 

1441

# 

 

1442

#     Added in Shorewall 4.5.20. If set to Yes, causes the compiler to add a

 

1443

#     comment to iptables rules to indicate the file name and line number of the

 

1444

#     configuration entry that generated the rule. If set to No (the default),

 

1445

#     then no such comments are added.

 

1446

# 

 

1447

#     Setting this option to Yes requires the Comments capability in iptables and

 

1448

#     kernel.

 

1449

# 

1421

1450

USE_DEFAULT_RT=No

1422

1451

#

1423

1452

# USE_DEFAULT_RT=[Yes|No]

1450

1479

#         Note

1451

1480

# 

1452

1481

#         detect may be specified for interfaces whose configuration is managed

1453

 

#         by dhcpcd. Shorewall will use dhcpcd's database to find the

1454

 

#         interfaces's gateway.

 

1482

#         by dhcpcd. Shorewall will use dhcpcd's database to find the interface's

 

1483

#         gateway.

1455

1484

# 

1456

1485

#      6. You should disable all default route management outside of Shorewall.

1457

1486

#         If a default route is added to the main table while Shorewall is

1466

1495

# USE_PHYSICAL_NAMES=[Yes|No]

1467

1496

# 

1468

1497

#     Added in Shorewall 4.4.27. Normally, when Shorewall creates a Netfilter

1469

 

#     chain that relates to an interface, it uses the interfaces's logical name

1470

 

#     as the base of the chain name. For example, if the logical name for an

 

1498

#     chain that relates to an interface, it uses the interface's logical name as

 

1499

#     the base of the chain name. For example, if the logical name for an

1471

1500

#     interface is OAKLAND, then the input chain for traffic arriving on that

1472

1501

#     interface would be 'OAKLAND_in'. If this option is set to Yes, then the

1473

1502

#     physical name of the interface will be used the base of the chain name.

• Older »

Loggerhead is a web-based interface for Breezy
Version: 2.0.1