~ubuntu-branches/debian/sid/shorewall/sid

« back to all changes in this revision

Viewing changes to Samples/three-interfaces/shorewall.conf.annotated

• browse files at revision 68
• compare with another revision
• download diff
• download tarball
• view history from revision 68

Show diffs side-by-side

added

removed

Samples/three-interfaces/shorewall.conf.annotated

418

418

#

419

419

# NFACCT=[pathname]

420

420

# 

421

 

#     Added in Shorewall 4.5.7. Specifies the pathname of the nfacct utiliity. If

422

 

#     not specified, Shorewall will use the PATH settting to find the program.

 

421

#     Added in Shorewall 4.5.7. Specifies the pathname of the nfacct utility. If

 

422

#     not specified, Shorewall will use the PATH setting to find the program.

423

423

# 

424

424

PERL=/usr/bin/perl

425

425

#

463

463

#     removing this file allows Shorewall to work with your distribution's

464

464

#     initscripts. For RedHat and OpenSuSE, this should be set to /var/lock/

465

465

#     subsys/shorewall. For Debian, the value is /var/lock/shorewall and in LEAF

466

 

#     it is /var/run/shorwall.

 

466

#     it is /var/run/shorewall.

467

467

# 

468

468

TC=

469

469

#

539

539

#

540

540

# RSH_COMMAND="command"

541

541

# 

542

 

#     Eariler generations of Shorewall Lite required that remote root login via

 

542

#     Earlier generations of Shorewall Lite required that remote root login via

543

543

#     ssh be enabled in order to use the load and reload commands. Beginning with

544

544

#     release 3.9.5, you may define an alternative means for accessing the remote

545

545

#     firewall system. In that release, two new options were added to

553

553

#     RSH_COMMAND: ssh ${root}@${system} ${command}

554

554

#     RCP_COMMAND: scp ${files} ${root}@${system}:${destination}

555

555

# 

556

 

#     Shell variables that will be set when the commands are envoked are as

 

556

#     Shell variables that will be set when the commands are invoked are as

557

557

#     follows:

558

558

# 

559

559

#     root - root user. Normally root but may be overridden using the '-r'

876

876

#     accepted. So for packets going from the 'loc' zone to the 'net' zone,

877

877

#     ESTABLISHED/RELATED packets are ACCEPTED in the 'loc2net' chain.

878

878

# 

879

 

#     If you set FASTACCEPT=Yes, then ESTABLISHED/RELEATED packets are accepted

 

879

#     If you set FASTACCEPT=Yes, then ESTABLISHED/RELATED packets are accepted

880

880

#     early in the INPUT, FORWARD and OUTPUT chains. If you set FASTACCEPT=Yes

881

881

#     then you may not include rules in the ESTABLISHED or RELATED sections of

882

882

#     shorewall-rules(5).

997

997

#     etc/iproute2/rt_tables database when there are entries in /etc/shorewall/

998

998

#     providers. If you set this option to Yes while Shorewall (Shorewall-lite)

999

999

#     is running, you should remove the file /var/lib/shorewall/rt_tables (/var/

1000

 

#     lib/shorewall-lite/rt_tables) before your next stop, refresh, restore on

 

1000

#     lib/shorewall-lite/rt_tables) before your next stop, refresh, restore on 

1001

1001

#     restart command.

1002

1002

# 

1003

1003

#     The default is KEEP_RT_TABLES=No.

1019

1019

#     preserves the legacy behavior of start -f (the modification times of the

1020

1020

#     files in /etc/shorewall are compare with that of /var/lib/shorewall/

1021

1021

#     restore). If set to No, then the times are compared with that of /var/lib/

1022

 

#     shorewall/firewall, which is consistant with the way that restart -f works.

 

1022

#     shorewall/firewall, which is consistent with the way that restart -f works.

1023

1023

# 

1024

1024

MACLIST_TABLE=filter

1025

1025

#

1143

1143

#     prohibit to set the type of route to be created. See http://

1144

1144

#     www.shorewall.net/MultiISP.html#null_routing.

1145

1145

# 

1146

 

OPTIMIZE=31

 

1146

OPTIMIZE=All

1147

1147

#

1148

1148

# OPTIMIZE=[value]

1149

1149

# 

1151

1151

#     category is associated with a power of two. To enable multiple optimization

1152

1152

#     categories, simply add their corresponding numbers together.

1153

1153

# 

 

1154

#     Beginning with Shorewall 4.5.20, you may specify OPTIMIZE=All to enable all

 

1155

#     optimization categories, and you may also specify OPTIMIZE=None to disable

 

1156

#     optimization.

 

1157

# 

1154

1158

#       ● Optimization category 1 - Traditionally, Shorewall has created rules

1155

1159

#         for the complete matrix of host groups defined by the zones, interfaces

1156

1160

#         and hosts files. Any traffic that didn't correspond to an element of

1164

1168

#         rule is considered to be redundant when it has the same ACTION and Log

1165

1169

#         Level as the applicable policy.

1166

1170

# 

 

1171

#         Note

 

1172

# 

 

1173

#         Optimization level 1 is ignored when optimization level 4 is also

 

1174

#         selected, since level 4 performs similar optimizations in a more robust

 

1175

#         way.

 

1176

# 

1167

1177

#       ● Optimization category 2 - Added in Shorewall 4.4.7. When set,

1168

1178

#         suppresses superfluous ACCEPT rules in a policy chain that implements

1169

 

#         an ACCEPT policy. Any ACCEPT rules that immediately preceed the final

 

1179

#         an ACCEPT policy. Any ACCEPT rules that immediately precede the final

1170

1180

#         blanket ACCEPT rule in the chain are now omitted.

1171

1181

# 

1172

1182

#       ● Optimization category 4 - Added in Shorewall 4.4.7. When set, causes

1223

1233

#         are considered compatible if they differ only in their destination

1224

1234

#         ports and comments.

1225

1235

# 

1226

 

#         A sequence of combatible rules is often generated when macros are

 

1236

#         A sequence of compatible rules is often generated when macros are

1227

1237

#         invoked in sequence.

1228

1238

# 

1229

1239

#         The ability to combine adjacent rules is limited by two factors:

1231

1241

#           ○ Destination port lists may only be combined up to a maximum of 15

1232

1242

#             ports, where a port-pair counts as two ports.

1233

1243

# 

1234

 

#           ○ Rules may only be combined until the length of their concatinated

 

1244

#           ○ Rules may only be combined until the length of their concatenated

1235

1245

#             comment reaches 255 characters.

1236

1246

# 

1237

1247

#         When either of these limits would be exceeded, the current combined

1238

 

#         rule is emitted and the compiler attemts to combine rules beginning

 

1248

#         rule is emitted and the compiler attempts to combine rules beginning

1239

1249

#         with the one that would have exceeded the limit. Adjacent combined

1240

1250

#         comments are separated by ', '. Empty comments at the front of a group

1241

1251

#         of combined comments are replaced by 'Others and'. Empty comments at

1252

1262

# 

1253

1263

#         Example 2:

1254

1264

# 

1255

 

#             Rules with comments <empty>, "FOO" and "BAR" would reult in the

 

1265

#             Rules with comments <empty>, "FOO" and "BAR" would result in the

1256

1266

#             combined comment "Others and FOO, BAR". Note: Optimize level 16

1257

1267

#             requires "Extended Multi-port Match" in your iptables and kernel.

1258

1268

# 

1312

1322

#     specified labels but can have the undesirable side effect of causing routes

1313

1323

#     to be quietly deleted. When RETAIN_ALIASES is set to Yes, existing

1314

1324

#     addresses will not be deleted. Regardless of the setting of RETAIN_ALIASES,

1315

 

#     addresses added during shorewall start are still deleted at a subsequent

 

1325

#     addresses added during shorewall start are still deleted at a subsequent 

1316

1326

#     shorewall stop or shorewall restart.

1317

1327

# 

1318

1328

ROUTE_FILTER=No

1328

1338

#     to No, then route filtering is disabled on all interfaces except those

1329

1339

#     specified in shorewall-interfaces(5).

1330

1340

# 

 

1341

#     Important

 

1342

# 

 

1343

#     If you need to disable route filtering on any interface, then you must set

 

1344

#     ROUTE_FILTER=No then set routefilter=1 or routefilter=2 on those interfaces

 

1345

#     where you want route filtering. See shorewall-interfaces(5) for additional

 

1346

#     details.

 

1347

# 

1331

1348

SAVE_ARPTABLES=No

1332

1349

#

1333

1350

# SAVE_ARPTABLES={Yes|No}

1334

1351

# 

1335

1352

#     Added in Shorewall 4.5.12. If SAVE_ARPTABLES=Yes, then the current

1336

 

#     arptables contents will be saved by shorewall save command and restored by

 

1353

#     arptables contents will be saved by shorewall save command and restored by 

1337

1354

#     shorewall restore command. Default value is No.

1338

1355

# 

1339

1356

SAVE_IPSETS=No

1417

1434

#     passed to the PREROUTING rules. Since TRACK_PROVIDERS was just introduced

1418

1435

#     in 4.4.3, this change should be transparent to most, if not all, users.

1419

1436

# 

 

1437

TRACK_RULES=No

 

1438

#

 

1439

# TRACK_RULES={Yes|No}

 

1440

# 

 

1441

#     Added in Shorewall 4.5.20. If set to Yes, causes the compiler to add a

 

1442

#     comment to iptables rules to indicate the file name and line number of the

 

1443

#     configuration entry that generated the rule. If set to No (the default),

 

1444

#     then no such comments are added.

 

1445

# 

 

1446

#     Setting this option to Yes requires the Comments capability in iptables and

 

1447

#     kernel.

 

1448

# 

1420

1449

USE_DEFAULT_RT=No

1421

1450

#

1422

1451

# USE_DEFAULT_RT=[Yes|No]

1449

1478

#         Note

1450

1479

# 

1451

1480

#         detect may be specified for interfaces whose configuration is managed

1452

 

#         by dhcpcd. Shorewall will use dhcpcd's database to find the

1453

 

#         interfaces's gateway.

 

1481

#         by dhcpcd. Shorewall will use dhcpcd's database to find the interface's

 

1482

#         gateway.

1454

1483

# 

1455

1484

#      6. You should disable all default route management outside of Shorewall.

1456

1485

#         If a default route is added to the main table while Shorewall is

1465

1494

# USE_PHYSICAL_NAMES=[Yes|No]

1466

1495

# 

1467

1496

#     Added in Shorewall 4.4.27. Normally, when Shorewall creates a Netfilter

1468

 

#     chain that relates to an interface, it uses the interfaces's logical name

1469

 

#     as the base of the chain name. For example, if the logical name for an

 

1497

#     chain that relates to an interface, it uses the interface's logical name as

 

1498

#     the base of the chain name. For example, if the logical name for an

1470

1499

#     interface is OAKLAND, then the input chain for traffic arriving on that

1471

1500

#     interface would be 'OAKLAND_in'. If this option is set to Yes, then the

1472

1501

#     physical name of the interface will be used the base of the chain name.

• Older »

Loggerhead is a web-based interface for Breezy
Version: 2.0.1