← Back to branch summary

~ubuntu-branches/debian/sid/shorewall/sid

« back to all changes in this revision

Viewing changes to Samples/two-interfaces/interfaces.annotated

  • Committer: Package Import Robot
  • Author(s): Roberto C. Sanchez
  • Date: 2013-09-24 19:17:20 UTC
  • mfrom: (1.3.53)
  • Revision ID: package-import@ubuntu.com-20130924191720-zn2nxs9sjn117ypr
Tags: 4.5.20-1
http://bugs.debian.org/712282
http://bugs.debian.org/686909
* New Upstream Version (Closes: #712282, #686909)
* Update to Standards-Version 3.9.4 (no changes)

Show diffs side-by-side

added added

removed removed

Lines of Context:
Samples/two-interfaces/interfaces.annotated
93
93
#     upnp
94
94
#     wait
95
95
 
96
#     Beginning with Shorewall 4.5.17, if you specify a zone for the 'lo'
 
97
#     interface, then that zone must be defined as type local in shorewall6-zones
 
98
#     (5).
 
99
96
100
# BROADCAST (Optional) - {-|detect|address[,address]...}
97
101
98
102
#     Only available if FORMAT 1.
114
118
115
119
#     A comma-separated list of options from the following list. The order in
116
120
#     which you list the options is not significant but the list should have no
117
 
#     embedded white space.
 
121
#     embedded white-space.
118
122
119
123
#     arp_filter[={0|1}]
120
124
168
172
169
173
#         Beginning with Shorewall 4.4.13:
170
174
171
 
#           ● If a zone is given in the ZONES column, then the behavior is as if
 
175
#           ● If a zone is given in the ZONES column, then the behavior is as if 
172
176
#             blacklist had been specified in the IN_OPTIONS column of
173
177
#             shorewall-zones(5).
174
178
175
179
#           ● Otherwise, the option is ignored with a warning:
176
180
177
 
#                 WARNING: The 'blacklist' option is ignored on mult-zone
 
181
#                 WARNING: The 'blacklist' option is ignored on multi-zone
178
182
#                 interfaces
179
183
180
184
#     bridge
182
186
#         Designates the interface as a bridge. Beginning with Shorewall 4.4.7,
183
187
#         setting this option also sets routeback.
184
188
 
189
#     destonly
 
190
 
191
#         Added in Shorewall 4.5.17. Causes the compiler to omit rules to handle
 
192
#         traffic from this interface.
 
193
185
194
#     dhcp
186
195
187
196
#         Specify this option when any of the following are true:
251
260
252
261
#         Connection requests from this interface are compared against the
253
262
#         contents of shorewall-maclist(5). If this option is specified, the
254
 
#         interface must be an ethernet NIC and must be up before Shorewall is
 
263
#         interface must be an Ethernet NIC and must be up before Shorewall is
255
264
#         started.
256
265
257
266
#     mss=number
330
339
#         fail to start if the interface is not usable. May not be specified
331
340
#         together with optional.
332
341
333
 
#     routeback
 
342
#     routeback[={0|1}]
334
343
335
344
#         If specified, indicates that Shorewall should include rules that allow
336
345
#         traffic arriving on this interface to be routed back out that same
342
351
#         should also specify either sfilter (see below) or routefilter on all
343
352
#         interfaces (see below).
344
353
 
354
#         Beginning with Shorewall 4.5.18, you may specify this option to
 
355
#         explicitly reset (e.g., routeback=0). This can be used to override
 
356
#         Shorewall's default setting for bridge devices which is routeback=1.
 
357
345
358
#     routefilter[={0|1|2}]
346
359
347
360
#         Turn on kernel route filtering for this interface (anti-spoofing
360
373
#         This option does not work with a wild-card interface name (e.g.,
361
374
#         eth0.+) in the INTERFACE column.
362
375
363
 
#         This option can also be enabled globally in the shorewall.conf(5) file.
 
376
#         This option can also be enabled globally via the ROUTE_FILTER option in
 
377
#         the shorewall.conf(5) file.
 
378
 
379
#         Important
 
380
 
381
#         If ROUTE_FILTER=Yes in shorewall.conf(5), or if your distribution sets
 
382
#         net.ipv4.conf.all.rp_filter=1 in /etc/sysctl.conf, then setting 
 
383
#         routefilter=0 in an interface entry will not disable route filtering on
 
384
#         that interface! The effective setting for an interface is the maximum
 
385
#         of the contents of /proc/sys/net/ipv4/conf/all/rp_filter and the
 
386
#         routefilter setting specified in this file (/proc/sys/net/ipv4/conf/
 
387
#         interface/rp_filter).
364
388
365
389
#         Note
366
390
418
442
#         after having been logged according to the setting of
419
443
#         TCP_FLAGS_LOG_LEVEL.
420
444
 
445
#     unmanaged
 
446
 
447
#         Added in Shorewall 4.5.18. Causes all traffic between the firewall and
 
448
#         hosts on the interface to be accepted. When this option is given:
 
449
 
450
#           ● The ZONE column must contain '-'.
 
451
 
452
#           ● Only the following other options are allowed with unmanaged:
 
453
 
454
#             arp_filter
 
455
#             arp_ignore
 
456
#             ignore
 
457
#             routefilter
 
458
#             optional
 
459
#             physical
 
460
#             routefilter
 
461
#             sourceroute
 
462
#             proxyndp
 
463
421
464
#     upnp
422
465
423
466
#         Incoming requests from this interface may be remapped via UPNP (upnpd).
434
477
435
478
#     wait=seconds
436
479
437
 
#         Added in Shorewall 4.4.10. Causes the generated script to wait up to
438
 
#         seconds seconds for the interface to become usable before applying the
 
480
#         Added in Shorewall 4.4.10. Causes the generated script to wait up to 
 
481
#         seconds seconds for the interface to become usable before applying the 
439
482
#         required or optional options.
440
483
441
484
# Example
469
512
470
513
# Example 3:
471
514
472
 
#     You have a simple dial-in system with no ethernet connections.
 
515
#     You have a simple dial-in system with no Ethernet connections.
473
516
474
517
#     FORMAT 2
475
518
#     #ZONE   INTERFACE OPTIONS