← Back to branch summary

~ubuntu-branches/ubuntu/precise/shorewall6/precise

« back to all changes in this revision

Viewing changes to manpages/shorewall6-rules.5

  • Committer: Package Import Robot
  • Author(s): Roberto C. Sanchez
  • Date: 2011-10-29 21:01:17 UTC
  • mfrom: (1.3.34)
  • Revision ID: package-import@ubuntu.com-20111029210117-d8g7xx7clzi683hr
Tags: 4.4.25-1
New Upstream Version

Show diffs side-by-side

added added

removed removed

Lines of Context:
manpages/shorewall6-rules.5
2
2
.\"     Title: shorewall6-rules
3
3
.\"    Author: [FIXME: author] [see http://docbook.sf.net/el/author]
4
4
.\" Generator: DocBook XSL Stylesheets v1.75.2 <http://docbook.sf.net/>
5
 
.\"      Date: 10/15/2011
 
5
.\"      Date: 10/29/2011
6
6
.\"    Manual: [FIXME: manual]
7
7
.\"    Source: [FIXME: source]
8
8
.\"  Language: English
9
9
.\"
10
 
.TH "SHOREWALL6\-RULES" "5" "10/15/2011" "[FIXME: source]" "[FIXME: manual]"
 
10
.TH "SHOREWALL6\-RULES" "5" "10/29/2011" "[FIXME: source]" "[FIXME: manual]"
11
11
.\" -----------------------------------------------------------------
12
12
.\" * Define some portability stuff
13
13
.\" -----------------------------------------------------------------
41
41
.PP
42
42
Sections are as follows and must appear in the order listed:
43
43
.PP
 
44
\fBBLACKLIST\fR
 
45
.RS 4
 
46
This section was added in Shorewall 4\&.4\&.25\&. Rules in this section are applied depending on the setting of BLACKLISTNEWONLY in
 
47
\m[blue]\fBshorewall\&.conf\fR\m[]\&\s-2\u[2]\d\s+2(5)\&. If BLACKLISTNEWONLY=No, then they are applied regardless of the connection tracking state of the packet\&. If BLACKLISTNEWONLY=Yes, they are applied to connections in the NEW and INVALID states\&.
 
48
.RE
 
49
.PP
44
50
\fBALL\fR
45
51
.RS 4
46
52
This section was added in Shorewall 4\&.4\&.23\&. rules in this section are applied, regardless of the connection tracking state of the packet\&.
102
108
.br
103
109
.PP
104
110
If you specify FASTACCEPT=Yes in
105
 
\m[blue]\fBshorewall6\&.conf\fR\m[]\&\s-2\u[2]\d\s+2(5) then the
 
111
\m[blue]\fBshorewall6\&.conf\fR\m[]\&\s-2\u[3]\d\s+2(5) then the
106
112
\fBESTABLISHED\fR
107
113
and
108
114
\fBRELATED\fR
126
132
\fBACCEPT!\fR
127
133
.RS 4
128
134
like ACCEPT but exempts the rule from being suppressed by OPTIMIZE=1 in
129
 
\m[blue]\fBshorewall6\&.conf\fR\m[]\&\s-2\u[2]\d\s+2(5)\&.
 
135
\m[blue]\fBshorewall6\&.conf\fR\m[]\&\s-2\u[3]\d\s+2(5)\&. Not available in the
 
136
\fBBLACKLIST\fR
 
137
section\&.
130
138
.RE
131
139
.PP
132
140
A_ACCEPT and A_ACCEPT!
133
141
.RS 4
134
 
Added in Shorewall 4\&.4\&.20\&. Audited versions of ACCEPT and ACCEPT! respectively\&. Require AUDIT_TARGET support in the kernel and ip6tables\&.
 
142
Added in Shorewall 4\&.4\&.20\&. Audited versions of ACCEPT and ACCEPT! respectively\&. Require AUDIT_TARGET support in the kernel and ip6tables\&. A_ACCEPT! is not available in the
 
143
\fBBLACKLIST\fR
 
144
section\&.
135
145
.RE
136
146
.PP
137
147
\fBDROP\fR
142
152
\fBDROP!\fR
143
153
.RS 4
144
154
like DROP but exempts the rule from being suppressed by OPTIMIZE=1 in
145
 
\m[blue]\fBshorewall6\&.conf\fR\m[]\&\s-2\u[2]\d\s+2(5)\&.
 
155
\m[blue]\fBshorewall6\&.conf\fR\m[]\&\s-2\u[3]\d\s+2(5)\&. Not available in the
 
156
\fBBLACKLIST\fR
 
157
section\&.
146
158
.RE
147
159
.PP
148
160
A_DROP and A_DROP!
149
161
.RS 4
150
 
Added in Shorewall 4\&.4\&.20\&. Audited versions of DROP and DROP! respectively\&. Require AUDIT_TARGET support in the kernel and ip6tables\&.
 
162
Added in Shorewall 4\&.4\&.20\&. Audited versions of DROP and DROP! respectively\&. Require AUDIT_TARGET support in the kernel and ip6tables\&. A_DROP! is not available in the
 
163
\fBBLACKLIST\fR
 
164
section\&.
151
165
.RE
152
166
.PP
153
167
\fBREJECT\fR
158
172
\fBREJECT!\fR
159
173
.RS 4
160
174
like REJECT but exempts the rule from being suppressed by OPTIMIZE=1 in
161
 
\m[blue]\fBshorewall6\&.conf\fR\m[]\&\s-2\u[2]\d\s+2(5)\&.
 
175
\m[blue]\fBshorewall6\&.conf\fR\m[]\&\s-2\u[3]\d\s+2(5)\&. Not available in the
 
176
\fBBLACKLIST\fR
 
177
section\&.
162
178
.RE
163
179
.PP
164
180
A_REJECT AND A_REJECT!
165
181
.RS 4
166
 
Added in Shorewall 4\&.4\&.20\&. Audited versions of REJECT and REJECT! respectively\&. Require AUDIT_TARGET support in the kernel and ip6tables\&.
 
182
Added in Shorewall 4\&.4\&.20\&. Audited versions of REJECT and REJECT! respectively\&. Require AUDIT_TARGET support in the kernel and ip6tables\&. A_REJECT! is not available in the
 
183
\fBBLACKLIST\fR
 
184
section\&.
167
185
.RE
168
186
.PP
169
187
\fBCONTINUE\fR
171
189
For experts only\&.
172
190
.sp
173
191
Do not process any of the following rules for this (source zone,destination zone)\&. If the source and/or destination IP address falls into a zone defined later in
174
 
\m[blue]\fBshorewall6\-zones\fR\m[]\&\s-2\u[3]\d\s+2(5) or in a parent zone of the source or destination zones, then this connection request will be passed to the rules defined for that (those) zone(s)\&. See
175
 
\m[blue]\fBshorewall6\-nesting\fR\m[]\&\s-2\u[4]\d\s+2(5) for additional information\&.
 
192
\m[blue]\fBshorewall6\-zones\fR\m[]\&\s-2\u[4]\d\s+2(5) or in a parent zone of the source or destination zones, then this connection request will be passed to the rules defined for that (those) zone(s)\&. See
 
193
\m[blue]\fBshorewall6\-nesting\fR\m[]\&\s-2\u[5]\d\s+2(5) for additional information\&.
176
194
.RE
177
195
.PP
178
196
\fBCONTINUE!\fR
179
197
.RS 4
180
198
like CONTINUE but exempts the rule from being suppressed by OPTIMIZE=1 in
181
 
\m[blue]\fBshorewall6\&.conf\fR\m[]\&\s-2\u[2]\d\s+2(5)\&.
 
199
\m[blue]\fBshorewall6\&.conf\fR\m[]\&\s-2\u[3]\d\s+2(5)\&. Not available in the
 
200
\fBBLACKLIST\fR
 
201
section\&.
182
202
.RE
183
203
.PP
184
204
\fBLOG\fR
194
214
\fBQUEUE!\fR
195
215
.RS 4
196
216
like QUEUE but exempts the rule from being suppressed by OPTIMIZE=1 in
197
 
\m[blue]\fBshorewall6\&.conf\fR\m[]\&\s-2\u[2]\d\s+2(5)\&.
 
217
\m[blue]\fBshorewall6\&.conf\fR\m[]\&\s-2\u[3]\d\s+2(5)\&. Not available in the
 
218
\fBBLACKLIST\fR
 
219
section\&.
198
220
.RE
199
221
.PP
200
222
\fBNFLOG\fR[(\fInflog\-parameters\fR)]
201
223
.RS 4
202
224
queues matching packets to a backend logging daemon via a netlink socket then continues to the next rule\&. See
203
 
\m[blue]\fBhttp://www\&.shorewall\&.net/shorewall_logging\&.html\fR\m[]\&\s-2\u[5]\d\s+2\&.
 
225
\m[blue]\fBhttp://www\&.shorewall\&.net/shorewall_logging\&.html\fR\m[]\&\s-2\u[6]\d\s+2\&.
204
226
.RE
205
227
.PP
206
228
\fBNFQUEUE\fR
213
235
\fBNFQUEUE!\fR
214
236
.RS 4
215
237
like NFQUEUE but exempts the rule from being suppressed by OPTIMIZE=1 in
216
 
\m[blue]\fBshorewall6\&.conf\fR\m[]\&\s-2\u[2]\d\s+2(5)\&.
 
238
\m[blue]\fBshorewall6\&.conf\fR\m[]\&\s-2\u[3]\d\s+2(5)\&. Not available in the
 
239
\fBBLACKLIST\fR
 
240
section\&.
217
241
.RE
218
242
.PP
219
243
\fBCOMMENT\fR
226
250
The name of an
227
251
\fIaction\fR
228
252
declared in
229
 
\m[blue]\fBshorewall6\-actions\fR\m[]\&\s-2\u[6]\d\s+2(5) or in /usr/share/shorewall6/actions\&.std\&.
 
253
\m[blue]\fBshorewall6\-actions\fR\m[]\&\s-2\u[7]\d\s+2(5) or in /usr/share/shorewall6/actions\&.std\&.
230
254
.RE
231
255
.PP
232
256
\fImacro\fR
253
277
names an
254
278
\fIaction\fR
255
279
declared in
256
 
\m[blue]\fBshorewall6\-actions\fR\m[]\&\s-2\u[6]\d\s+2(5) or in /usr/share/shorewall6/actions\&.std then:
 
280
\m[blue]\fBshorewall6\-actions\fR\m[]\&\s-2\u[7]\d\s+2(5) or in /usr/share/shorewall6/actions\&.std then:
257
281
.sp
258
282
.RS 4
259
283
.ie n \{\
295
319
(must be in upper case) as a log level\&.This will log to the NFLOG target for routing to a separate log through use of ulogd (\m[blue]\fBhttp://www\&.netfilter\&.org/projects/ulogd/index\&.html\fR\m[])\&.
296
320
.sp
297
321
Actions specifying logging may be followed by a log tag (a string of alphanumeric characters) which is appended to the string generated by the LOGPREFIX (in
298
 
\m[blue]\fBshorewall6\&.conf\fR\m[]\&\s-2\u[2]\d\s+2(5))\&.
 
322
\m[blue]\fBshorewall6\&.conf\fR\m[]\&\s-2\u[3]\d\s+2(5))\&.
299
323
.sp
300
324
Example: ACCEPT:info:ftp would include \*(Aqftp \*(Aq at the end of the log prefix generated by the LOGPREFIX setting\&.
301
325
.RE
314
338
.sp
315
339
Beginning with Shorewall 4\&.4\&.13, you may use a
316
340
\fIzone\-list \fRwhich consists of a comma\-separated list of zones declared in
317
 
\m[blue]\fBshorewall\-zones\fR\m[]\&\s-2\u[7]\d\s+2
 
341
\m[blue]\fBshorewall\-zones\fR\m[]\&\s-2\u[8]\d\s+2
318
342
(5)\&. Ths
319
343
\fIzone\-list\fR
320
344
may be optionally followed by "+" to indicate that the rule is to apply to intra\-zone traffic as well as inter\-zone traffic\&.
337
361
\fBDEST\fR
338
362
column intra\-zone traffic is not affected\&. When
339
363
\fBall+\fR[\fB\-\fR] is "used, intra\-zone traffic is affected\&. Beginning with Shorewall 4\&.4\&.13, exclusion is supported \-\- see see
340
 
\m[blue]\fBshorewall6\-exclusion\fR\m[]\&\s-2\u[8]\d\s+2(5)\&.
 
364
\m[blue]\fBshorewall6\-exclusion\fR\m[]\&\s-2\u[9]\d\s+2(5)\&.
341
365
.sp
342
366
Except when
343
367
\fBall\fR[\fB+\fR][\fB\-\fR] or
356
380
\fIlowaddress\fR\-\fIhighaddress\fR\&. This requires that your kernel and ip6tables contain iprange match support\&. If your kernel and ip6tables have ipset match support then you may give the name of an ipset prefaced by "+"\&. The ipset name may be optionally followed by a number from 1 to 6 enclosed in square brackets ([]) to indicate the number of levels of source bindings to be matched\&.
357
381
.sp
358
382
Beginning with Shorewall6 4\&.4\&.17, the primary IP address of a firewall interface can be specified by an apersand (\*(Aq&\*(Aq) followed by the logican name of the interface as found in the INTERFACE column of
359
 
\m[blue]\fBshorewall6\-interfaces\fR\m[]\&\s-2\u[9]\d\s+2
 
383
\m[blue]\fBshorewall6\-interfaces\fR\m[]\&\s-2\u[10]\d\s+2
360
384
(5)\&.
361
385
.sp
362
386
When an
366
390
You may exclude certain hosts from the set already defined through use of an
367
391
\fIexclusion\fR
368
392
(see
369
 
\m[blue]\fBshorewall6\-exclusion\fR\m[]\&\s-2\u[8]\d\s+2(5))\&.
 
393
\m[blue]\fBshorewall6\-exclusion\fR\m[]\&\s-2\u[9]\d\s+2(5))\&.
370
394
.sp
371
395
Examples:
372
396
.PP
418
442
\fB\fBDEST\fR\fR\fB \- {\fR\fB\fIzone|zone\-list\fR\fR\fB[+]|\fR\fB\fBall\fR\fR\fB[\fR\fB\fB+\fR\fR\fB][\fR\fB\fB\-\fR\fR\fB]}\fR\fB\fB[:\fR\fR\fB\fIinterface\fR\fR\fB][\fR\fB\fB:\fR\fB\fB<\fR\fR\fR\fB{\fR\fB\fIaddress\-or\-range\fR\fR\fB[,\fR\fB\fIaddress\-or\-range\fR\fR\fB]\&.\&.\&.[\fR\fB\fIexclusion\fR\fR\fB]\fR\fB\fB>\fR\fR\fB|\fR\fB\fIexclusion\fR\fR\fB|\fR\fB\fB+\fR\fR\fB\fIipset\fR\fR\fB}\fR
419
443
.RS 4
420
444
Location of Server\&. May be a zone declared in
421
 
\m[blue]\fBshorewall6\-zones\fR\m[]\&\s-2\u[3]\d\s+2(5), $\fBFW\fR
 
445
\m[blue]\fBshorewall6\-zones\fR\m[]\&\s-2\u[4]\d\s+2(5), $\fBFW\fR
422
446
to indicate the firewall itself,
423
447
\fBall\fR\&.
424
448
\fBall+\fR
427
451
.sp
428
452
Beginning with Shorewall 4\&.4\&.13, you may use a
429
453
\fIzone\-list \fRwhich consists of a comma\-separated list of zones declared in
430
 
\m[blue]\fBshorewall\-zones\fR\m[]\&\s-2\u[7]\d\s+2
 
454
\m[blue]\fBshorewall\-zones\fR\m[]\&\s-2\u[8]\d\s+2
431
455
(5)\&. Ths
432
456
\fIzone\-list\fR
433
457
may be optionally followed by "+" to indicate that the rule is to apply to intra\-zone traffic as well as inter\-zone traffic\&. Beginning with Shorewall\-4\&.4\&.13, exclusion is supported \-\- see see
434
 
\m[blue]\fBshorewall6\-exclusion\fR\m[]\&\s-2\u[8]\d\s+2(5)\&.
 
458
\m[blue]\fBshorewall6\-exclusion\fR\m[]\&\s-2\u[9]\d\s+2(5)\&.
435
459
.sp
436
460
Beginning with Shorewall6 4\&.4\&.17, the primary IP address of a firewall interface can be specified by an apersand (\*(Aq&\*(Aq) followed by the logican name of the interface as found in the INTERFACE column of
437
 
\m[blue]\fBshorewall6\-interfaces\fR\m[]\&\s-2\u[9]\d\s+2
 
461
\m[blue]\fBshorewall6\-interfaces\fR\m[]\&\s-2\u[10]\d\s+2
438
462
(5)\&.
439
463
.sp
440
464
When
506
530
You may exclude certain hosts from the set already defined through use of an
507
531
\fIexclusion\fR
508
532
(see
509
 
\m[blue]\fBshorewall6\-exclusion\fR\m[]\&\s-2\u[8]\d\s+2(5))\&.
 
533
\m[blue]\fBshorewall6\-exclusion\fR\m[]\&\s-2\u[9]\d\s+2(5))\&.
510
534
.sp
511
535
Restrictions:
512
536
.sp
923
947
\%http://www.shorewall.net/manpages6/shorewall6-policy.html
924
948
.RE
925
949
.IP " 2." 4
 
950
shorewall.conf
 
951
.RS 4
 
952
\%http://www.shorewall.net/manpages6/shorewall.conf.html
 
953
.RE
 
954
.IP " 3." 4
926
955
shorewall6.conf
927
956
.RS 4
928
957
\%http://www.shorewall.net/manpages6/shorewall6.conf.html
929
958
.RE
930
 
.IP " 3." 4
 
959
.IP " 4." 4
931
960
shorewall6-zones
932
961
.RS 4
933
962
\%http://www.shorewall.net/manpages6/shorewall6-zones.html
934
963
.RE
935
 
.IP " 4." 4
 
964
.IP " 5." 4
936
965
shorewall6-nesting
937
966
.RS 4
938
967
\%http://www.shorewall.net/manpages6/shorewall6-nesting.html
939
968
.RE
940
 
.IP " 5." 4
 
969
.IP " 6." 4
941
970
http://www.shorewall.net/shorewall_logging.html
942
971
.RS 4
943
972
\%http://www.shorewall.net/shorewall.logging.html
944
973
.RE
945
 
.IP " 6." 4
 
974
.IP " 7." 4
946
975
shorewall6-actions
947
976
.RS 4
948
977
\%http://www.shorewall.net/manpages6/shorewall6-actions.html
949
978
.RE
950
 
.IP " 7." 4
 
979
.IP " 8." 4
951
980
shorewall-zones
952
981
.RS 4
953
982
\%http://www.shorewall.net/manpages6/shorewall-zones.html
954
983
.RE
955
 
.IP " 8." 4
 
984
.IP " 9." 4
956
985
shorewall6-exclusion
957
986
.RS 4
958
987
\%http://www.shorewall.net/manpages6/shorewall6-exclusion.html
959
988
.RE
960
 
.IP " 9." 4
 
989
.IP "10." 4
961
990
shorewall6-interfaces
962
991
.RS 4
963
992
\%http://www.shorewall.net/manpages6/shorewall-interfaces.html