~ubuntu-branches/debian/sid/shorewall/sid

« back to all changes in this revision

Viewing changes to Samples/two-interfaces/shorewall.conf.annotated

• browse files at revision 68
• compare with another revision
• download diff
• download tarball
• view history from revision 68

Show diffs side-by-side

added

removed

Samples/two-interfaces/shorewall.conf.annotated

420

420

#

421

421

# NFACCT=[pathname]

422

422

# 

423

 

#     Added in Shorewall 4.5.7. Specifies the pathname of the nfacct utiliity. If

424

 

#     not specified, Shorewall will use the PATH settting to find the program.

 

423

#     Added in Shorewall 4.5.7. Specifies the pathname of the nfacct utility. If

 

424

#     not specified, Shorewall will use the PATH setting to find the program.

425

425

# 

426

426

PERL=/usr/bin/perl

427

427

#

465

465

#     removing this file allows Shorewall to work with your distribution's

466

466

#     initscripts. For RedHat and OpenSuSE, this should be set to /var/lock/

467

467

#     subsys/shorewall. For Debian, the value is /var/lock/shorewall and in LEAF

468

 

#     it is /var/run/shorwall.

 

468

#     it is /var/run/shorewall.

469

469

# 

470

470

TC=

471

471

#

541

541

#

542

542

# RSH_COMMAND="command"

543

543

# 

544

 

#     Eariler generations of Shorewall Lite required that remote root login via

 

544

#     Earlier generations of Shorewall Lite required that remote root login via

545

545

#     ssh be enabled in order to use the load and reload commands. Beginning with

546

546

#     release 3.9.5, you may define an alternative means for accessing the remote

547

547

#     firewall system. In that release, two new options were added to

555

555

#     RSH_COMMAND: ssh ${root}@${system} ${command}

556

556

#     RCP_COMMAND: scp ${files} ${root}@${system}:${destination}

557

557

# 

558

 

#     Shell variables that will be set when the commands are envoked are as

 

558

#     Shell variables that will be set when the commands are invoked are as

559

559

#     follows:

560

560

# 

561

561

#     root - root user. Normally root but may be overridden using the '-r'

878

878

#     accepted. So for packets going from the 'loc' zone to the 'net' zone,

879

879

#     ESTABLISHED/RELATED packets are ACCEPTED in the 'loc2net' chain.

880

880

# 

881

 

#     If you set FASTACCEPT=Yes, then ESTABLISHED/RELEATED packets are accepted

 

881

#     If you set FASTACCEPT=Yes, then ESTABLISHED/RELATED packets are accepted

882

882

#     early in the INPUT, FORWARD and OUTPUT chains. If you set FASTACCEPT=Yes

883

883

#     then you may not include rules in the ESTABLISHED or RELATED sections of

884

884

#     shorewall-rules(5).

999

999

#     etc/iproute2/rt_tables database when there are entries in /etc/shorewall/

1000

1000

#     providers. If you set this option to Yes while Shorewall (Shorewall-lite)

1001

1001

#     is running, you should remove the file /var/lib/shorewall/rt_tables (/var/

1002

 

#     lib/shorewall-lite/rt_tables) before your next stop, refresh, restore on

 

1002

#     lib/shorewall-lite/rt_tables) before your next stop, refresh, restore on 

1003

1003

#     restart command.

1004

1004

# 

1005

1005

#     The default is KEEP_RT_TABLES=No.

1021

1021

#     preserves the legacy behavior of start -f (the modification times of the

1022

1022

#     files in /etc/shorewall are compare with that of /var/lib/shorewall/

1023

1023

#     restore). If set to No, then the times are compared with that of /var/lib/

1024

 

#     shorewall/firewall, which is consistant with the way that restart -f works.

 

1024

#     shorewall/firewall, which is consistent with the way that restart -f works.

1025

1025

# 

1026

1026

MACLIST_TABLE=filter

1027

1027

#

1145

1145

#     prohibit to set the type of route to be created. See http://

1146

1146

#     www.shorewall.net/MultiISP.html#null_routing.

1147

1147

# 

1148

 

OPTIMIZE=31

 

1148

OPTIMIZE=All

1149

1149

#

1150

1150

# OPTIMIZE=[value]

1151

1151

# 

1153

1153

#     category is associated with a power of two. To enable multiple optimization

1154

1154

#     categories, simply add their corresponding numbers together.

1155

1155

# 

 

1156

#     Beginning with Shorewall 4.5.20, you may specify OPTIMIZE=All to enable all

 

1157

#     optimization categories, and you may also specify OPTIMIZE=None to disable

 

1158

#     optimization.

 

1159

# 

1156

1160

#       ● Optimization category 1 - Traditionally, Shorewall has created rules

1157

1161

#         for the complete matrix of host groups defined by the zones, interfaces

1158

1162

#         and hosts files. Any traffic that didn't correspond to an element of

1166

1170

#         rule is considered to be redundant when it has the same ACTION and Log

1167

1171

#         Level as the applicable policy.

1168

1172

# 

 

1173

#         Note

 

1174

# 

 

1175

#         Optimization level 1 is ignored when optimization level 4 is also

 

1176

#         selected, since level 4 performs similar optimizations in a more robust

 

1177

#         way.

 

1178

# 

1169

1179

#       ● Optimization category 2 - Added in Shorewall 4.4.7. When set,

1170

1180

#         suppresses superfluous ACCEPT rules in a policy chain that implements

1171

 

#         an ACCEPT policy. Any ACCEPT rules that immediately preceed the final

 

1181

#         an ACCEPT policy. Any ACCEPT rules that immediately precede the final

1172

1182

#         blanket ACCEPT rule in the chain are now omitted.

1173

1183

# 

1174

1184

#       ● Optimization category 4 - Added in Shorewall 4.4.7. When set, causes

1225

1235

#         are considered compatible if they differ only in their destination

1226

1236

#         ports and comments.

1227

1237

# 

1228

 

#         A sequence of combatible rules is often generated when macros are

 

1238

#         A sequence of compatible rules is often generated when macros are

1229

1239

#         invoked in sequence.

1230

1240

# 

1231

1241

#         The ability to combine adjacent rules is limited by two factors:

1233

1243

#           ○ Destination port lists may only be combined up to a maximum of 15

1234

1244

#             ports, where a port-pair counts as two ports.

1235

1245

# 

1236

 

#           ○ Rules may only be combined until the length of their concatinated

 

1246

#           ○ Rules may only be combined until the length of their concatenated

1237

1247

#             comment reaches 255 characters.

1238

1248

# 

1239

1249

#         When either of these limits would be exceeded, the current combined

1240

 

#         rule is emitted and the compiler attemts to combine rules beginning

 

1250

#         rule is emitted and the compiler attempts to combine rules beginning

1241

1251

#         with the one that would have exceeded the limit. Adjacent combined

1242

1252

#         comments are separated by ', '. Empty comments at the front of a group

1243

1253

#         of combined comments are replaced by 'Others and'. Empty comments at

1254

1264

# 

1255

1265

#         Example 2:

1256

1266

# 

1257

 

#             Rules with comments <empty>, "FOO" and "BAR" would reult in the

 

1267

#             Rules with comments <empty>, "FOO" and "BAR" would result in the

1258

1268

#             combined comment "Others and FOO, BAR". Note: Optimize level 16

1259

1269

#             requires "Extended Multi-port Match" in your iptables and kernel.

1260

1270

# 

1314

1324

#     specified labels but can have the undesirable side effect of causing routes

1315

1325

#     to be quietly deleted. When RETAIN_ALIASES is set to Yes, existing

1316

1326

#     addresses will not be deleted. Regardless of the setting of RETAIN_ALIASES,

1317

 

#     addresses added during shorewall start are still deleted at a subsequent

 

1327

#     addresses added during shorewall start are still deleted at a subsequent 

1318

1328

#     shorewall stop or shorewall restart.

1319

1329

# 

1320

1330

ROUTE_FILTER=No

1330

1340

#     to No, then route filtering is disabled on all interfaces except those

1331

1341

#     specified in shorewall-interfaces(5).

1332

1342

# 

 

1343

#     Important

 

1344

# 

 

1345

#     If you need to disable route filtering on any interface, then you must set

 

1346

#     ROUTE_FILTER=No then set routefilter=1 or routefilter=2 on those interfaces

 

1347

#     where you want route filtering. See shorewall-interfaces(5) for additional

 

1348

#     details.

 

1349

# 

1333

1350

SAVE_ARPTABLES=No

1334

1351

#

1335

1352

# SAVE_ARPTABLES={Yes|No}

1336

1353

# 

1337

1354

#     Added in Shorewall 4.5.12. If SAVE_ARPTABLES=Yes, then the current

1338

 

#     arptables contents will be saved by shorewall save command and restored by

 

1355

#     arptables contents will be saved by shorewall save command and restored by 

1339

1356

#     shorewall restore command. Default value is No.

1340

1357

# 

1341

1358

SAVE_IPSETS=No

1419

1436

#     passed to the PREROUTING rules. Since TRACK_PROVIDERS was just introduced

1420

1437

#     in 4.4.3, this change should be transparent to most, if not all, users.

1421

1438

# 

 

1439

TRACK_RULES=No

 

1440

#

 

1441

# TRACK_RULES={Yes|No}

 

1442

# 

 

1443

#     Added in Shorewall 4.5.20. If set to Yes, causes the compiler to add a

 

1444

#     comment to iptables rules to indicate the file name and line number of the

 

1445

#     configuration entry that generated the rule. If set to No (the default),

 

1446

#     then no such comments are added.

 

1447

# 

 

1448

#     Setting this option to Yes requires the Comments capability in iptables and

 

1449

#     kernel.

 

1450

# 

1422

1451

USE_DEFAULT_RT=No

1423

1452

#

1424

1453

# USE_DEFAULT_RT=[Yes|No]

1451

1480

#         Note

1452

1481

# 

1453

1482

#         detect may be specified for interfaces whose configuration is managed

1454

 

#         by dhcpcd. Shorewall will use dhcpcd's database to find the

1455

 

#         interfaces's gateway.

 

1483

#         by dhcpcd. Shorewall will use dhcpcd's database to find the interface's

 

1484

#         gateway.

1456

1485

# 

1457

1486

#      6. You should disable all default route management outside of Shorewall.

1458

1487

#         If a default route is added to the main table while Shorewall is

1467

1496

# USE_PHYSICAL_NAMES=[Yes|No]

1468

1497

# 

1469

1498

#     Added in Shorewall 4.4.27. Normally, when Shorewall creates a Netfilter

1470

 

#     chain that relates to an interface, it uses the interfaces's logical name

1471

 

#     as the base of the chain name. For example, if the logical name for an

 

1499

#     chain that relates to an interface, it uses the interface's logical name as

 

1500

#     the base of the chain name. For example, if the logical name for an

1472

1501

#     interface is OAKLAND, then the input chain for traffic arriving on that

1473

1502

#     interface would be 'OAKLAND_in'. If this option is set to Yes, then the

1474

1503

#     physical name of the interface will be used the base of the chain name.

• Older »

Loggerhead is a web-based interface for Breezy
Version: 2.0.1