modules/ferm/files/ferm.conf

   1 ##
   2 ## THIS FILE IS UNDER PUPPET CONTROL. DON'T EDIT IT HERE.
   3 ## USE: git clone git+ssh://$USER@puppet.debian.org/srv/puppet.debian.org/git/dsa-puppet.git
   4 ##
   5
   6 # -*- shell-script -*-
   7
   8 @include 'conf.d/';
   9
  10 domain (ip ip6) {
  11         table filter {
  12               chain (INPUT OUTPUT) {
  13                       NOP;
  14               }
  15         }
  16 }
  17
  18 domain ip {
  19         table filter {
  20               chain log_and_reject {
  21                       ULOG ulog-prefix "REJECT: ";
  22                       proto tcp REJECT reject-with tcp-reset;
  23                       REJECT;
  24               }
  25
  26               chain log_or_drop {
  27                       mod hashlimit hashlimit-name ulogreject  hashlimit-mode srcip hashlimit-burst 30 hashlimit 15/second jump log_and_reject;
  28                       mod hashlimit hashlimit-name uloglogdrop hashlimit-mode srcip hashlimit-burst 30 hashlimit 15/second ULOG ulog-prefix "DROP: ";
  29                       DROP;
  30               }
  31
  32         }
  33 }
  34 domain ip6 {
  35         table filter {
  36               chain log_and_reject {
  37                       LOG log-prefix "REJECT: ";
  38                       proto tcp REJECT reject-with tcp-reset;
  39                       REJECT;
  40               }
  41
  42               chain log_or_drop {
  43                       mod hashlimit hashlimit-name logreject  hashlimit-mode srcip hashlimit-burst 30 hashlimit 15/second jump log_and_reject;
  44                       mod hashlimit hashlimit-name loglogdrop hashlimit-mode srcip hashlimit-burst 30 hashlimit 15/second LOG log-prefix "DROP: ";
  45                       DROP;
  46               }
  47         }
  48 }
  49 domain (ip ip6) {
  50         table filter {
  51               chain INPUT {
  52                       policy DROP;
  53                       mod state state (ESTABLISHED RELATED) ACCEPT;
  54                       interface lo ACCEPT;
  55                       proto icmp ACCEPT;
  56                       mod state state (INVALID) DROP;
  57               }
  58         }
  59 }
  60
  61 @include 'dsa.d/';
  62
  63 domain (ip ip6) {
  64         chain INPUT {
  65                 proto (tcp udp) mod multiport destination-ports (135 137 138 139 445 1026 1027 1433) DROP;
  66                 jump log_or_drop;
  67         }
  68 }