← Back to branch summary

~ubuntu-branches/ubuntu/saucy/shorewall/saucy-proposed

« back to all changes in this revision

Viewing changes to manpages/shorewall-hosts.5

  • Committer: Package Import Robot
  • Author(s): Roberto C. Sanchez
  • Date: 2012-04-14 21:57:42 UTC
  • mfrom: (1.3.46)
  • Revision ID: package-import@ubuntu.com-20120414215742-0ejkotwovqesavu7
Tags: 4.5.2.2-1
* New Upstream Version
* Convert to debhelper compatibility level 8

Show diffs side-by-side

added added

removed removed

Lines of Context:
manpages/shorewall-hosts.5
2
2
.\"     Title: shorewall-hosts
3
3
.\"    Author: [FIXME: author] [see http://docbook.sf.net/el/author]
4
4
.\" Generator: DocBook XSL Stylesheets v1.75.2 <http://docbook.sf.net/>
5
 
.\"      Date: 03/06/2012
 
5
.\"      Date: 04/14/2012
6
6
.\"    Manual: [FIXME: manual]
7
7
.\"    Source: [FIXME: source]
8
8
.\"  Language: English
9
9
.\"
10
 
.TH "SHOREWALL\-HOSTS" "5" "03/06/2012" "[FIXME: source]" "[FIXME: manual]"
 
10
.TH "SHOREWALL\-HOSTS" "5" "04/14/2012" "[FIXME: source]" "[FIXME: manual]"
11
11
.\" -----------------------------------------------------------------
12
12
.\" * Define some portability stuff
13
13
.\" -----------------------------------------------------------------
160
160
.RS 4
161
161
A comma\-separated list of options from the following list\&. The order in which you list the options is not significant but the list must have no embedded white space\&.
162
162
.PP
163
 
\fBmaclist\fR
164
 
.RS 4
165
 
Connection requests from these hosts are compared against the contents of
166
 
\m[blue]\fBshorewall\-maclist\fR\m[]\&\s-2\u[4]\d\s+2(5)\&. If this option is specified, the interface must be an ethernet NIC or equivalent and must be up before Shorewall is started\&.
167
 
.RE
168
 
.PP
169
 
\fBrouteback\fR
170
 
.RS 4
171
 
Shorewall should set up the infrastructure to pass packets from this/these address(es) back to themselves\&. This is necessary if hosts in this group use the services of a transparent proxy that is a member of the group or if DNAT is used to send requests originating from this group to a server in the group\&.
172
 
.RE
173
 
.PP
174
163
\fBblacklist\fR
175
164
.RS 4
176
165
Check packets arriving on this port against the
177
 
\m[blue]\fBshorewall\-blacklist\fR\m[]\&\s-2\u[5]\d\s+2(5) file\&.
178
 
.RE
179
 
.PP
180
 
\fBtcpflags\fR
181
 
.RS 4
182
 
Packets arriving from these hosts are checked for certain illegal combinations of TCP flags\&. Packets found to have such a combination of flags are handled according to the setting of TCP_FLAGS_DISPOSITION after having been logged according to the setting of TCP_FLAGS_LOG_LEVEL\&.
183
 
.RE
184
 
.PP
185
 
\fBnosmurfs\fR
186
 
.RS 4
187
 
This option only makes sense for ports on a bridge\&.
188
 
.sp
189
 
Filter packets for smurfs (packets with a broadcast address as the source)\&.
190
 
.sp
191
 
Smurfs will be optionally logged based on the setting of SMURF_LOG_LEVEL in
192
 
\m[blue]\fBshorewall\&.conf\fR\m[]\&\s-2\u[6]\d\s+2(5)\&. After logging, the packets are dropped\&.
193
 
.RE
194
 
.PP
195
 
\fBipsec\fR
196
 
.RS 4
197
 
The zone is accessed via a kernel 2\&.6 ipsec SA\&. Note that if the zone named in the ZONE column is specified as an IPSEC zone in the
198
 
\m[blue]\fBshorewall\-zones\fR\m[]\&\s-2\u[1]\d\s+2(5) file then you do NOT need to specify the \*(Aqipsec\*(Aq option here\&.
 
166
\m[blue]\fBshorewall\-blacklist\fR\m[]\&\s-2\u[4]\d\s+2(5) file\&.
199
167
.RE
200
168
.PP
201
169
\fBbroadcast\fR
230
198
.RS 4
231
199
Normally used with the Multi\-cast IP address range (224\&.0\&.0\&.0/4)\&. Specifies that traffic will be sent to the specified net(s) but that no traffic will be received from the net(s)\&.
232
200
.RE
 
201
.PP
 
202
\fBipsec\fR
 
203
.RS 4
 
204
The zone is accessed via a kernel 2\&.6 ipsec SA\&. Note that if the zone named in the ZONE column is specified as an IPSEC zone in the
 
205
\m[blue]\fBshorewall\-zones\fR\m[]\&\s-2\u[1]\d\s+2(5) file then you do NOT need to specify the \*(Aqipsec\*(Aq option here\&.
 
206
.RE
 
207
.PP
 
208
\fBmaclist\fR
 
209
.RS 4
 
210
Connection requests from these hosts are compared against the contents of
 
211
\m[blue]\fBshorewall\-maclist\fR\m[]\&\s-2\u[5]\d\s+2(5)\&. If this option is specified, the interface must be an ethernet NIC or equivalent and must be up before Shorewall is started\&.
 
212
.RE
 
213
.PP
 
214
\fBmss\fR=\fImss\fR
 
215
.RS 4
 
216
Added in Shorewall 4\&.5\&.2\&. When present, causes the TCP mss for new connections to/from the hosts given in the HOST(S) column to be clamped at the specified
 
217
\fImss\fR\&.
 
218
.RE
 
219
.PP
 
220
\fBnosmurfs\fR
 
221
.RS 4
 
222
This option only makes sense for ports on a bridge\&.
 
223
.sp
 
224
Filter packets for smurfs (packets with a broadcast address as the source)\&.
 
225
.sp
 
226
Smurfs will be optionally logged based on the setting of SMURF_LOG_LEVEL in
 
227
\m[blue]\fBshorewall\&.conf\fR\m[]\&\s-2\u[6]\d\s+2(5)\&. After logging, the packets are dropped\&.
 
228
.RE
 
229
.PP
 
230
\fBrouteback\fR
 
231
.RS 4
 
232
Shorewall should set up the infrastructure to pass packets from this/these address(es) back to themselves\&. This is necessary if hosts in this group use the services of a transparent proxy that is a member of the group or if DNAT is used to send requests originating from this group to a server in the group\&.
 
233
.RE
 
234
.PP
 
235
\fBtcpflags\fR
 
236
.RS 4
 
237
Packets arriving from these hosts are checked for certain illegal combinations of TCP flags\&. Packets found to have such a combination of flags are handled according to the setting of TCP_FLAGS_DISPOSITION after having been logged according to the setting of TCP_FLAGS_LOG_LEVEL\&.
 
238
.RE
233
239
.RE
234
240
.SH "EXAMPLES"
235
241
.PP
273
279
\%http://www.shorewall.net/manpages/shorewall-exclusion.html
274
280
.RE
275
281
.IP " 4." 4
 
282
shorewall-blacklist
 
283
.RS 4
 
284
\%http://www.shorewall.net/manpages/shorewall-blacklist.html
 
285
.RE
 
286
.IP " 5." 4
276
287
shorewall-maclist
277
288
.RS 4
278
289
\%http://www.shorewall.net/manpages/shorewall-maclist.html
279
290
.RE
280
 
.IP " 5." 4
281
 
shorewall-blacklist
282
 
.RS 4
283
 
\%http://www.shorewall.net/manpages/shorewall-blacklist.html
284
 
.RE
285
291
.IP " 6." 4
286
292
shorewall.conf
287
293
.RS 4