# ipfw.rules # # Autor: Guido Berhoerster # # Diese Datei kann im Verzeichnis /etc abgelegt und mit den folgenden # Einstellungen in der rc.conf geladen werden: # firewall_enable="YES" # firewall_script="/etc/rc.firewall" # firewall_type="/etc/ipfw.rules" # # NAT ist nur ueber die im pppd eingebaute NAT-Option moeglich. # # fxp0 ist mit dem lokalen und tun0 mit dem externen Netzwerk verbunden. # # Vorsicht! Achtung! Diese Firewall bietet nur einen gewissen Schutz gegen # Angriffe von aussen, nicht jedoch Angriffe von innen! # Loopback-Verkehr erlauben add allow all from any to any via lo0 add deny all from any to 127.0.0.0/8 add deny ip from 127.0.0.0/8 to any # alle Pakete ueber das lokale Interface erlauben add allow ip from any to any via fxp0 # Status von Verbindungen soll verfolgt werden add check-state # hereinkommende Pakete mit gefaelschten Absenderadressen fallenlassen; # diese Regel ist hier aus Kompatibilitaetsgruenden auskommentiert, da ipfw2 # und FreeBSD 5.1-RELEASE und hoeher erforderlich sind, fuer naehere # Erlaeuterungen siehe Anleitung #add deny ip from any to any in via tun0 not verrevpath # Pakete, die zu einer etablierten Verbindung ohne dynamische Regel gehoeren # fallenlassen add deny tcp from any to any via tun0 established # TCP-Verbindungen sollen aus dem eigenen Netz heraus initiiert werden koennen # und ihr Status soll verfolgt werden add allow tcp from any to any keep-state out xmit tun0 setup # Verbindungen von aussen zu einem, auf dem Firewall-Rechner laufenden SSH- # Server zulassen add allow tcp from any to any 22 keep-state in recv tun0 setup # UDP-Pakete fuer DNS- und NTP-Anfragen erlauben add allow udp from any to any 53,123 keep-state out xmit tun0 # ICMP Pakete der Typen 3 und 4 (Destination Unreachable und Source Quench) # in jeder Richtung erlauben, ICMP-Pakete des Typs 8 (Echo Request) werden # herausgelassen und die Typen 0 und 11 (Echo Reply und Time Exceeded) wieder # hereinlassen add allow icmp from any to any icmptype 3,4 add allow icmp from any to any out icmptype 8 add allow icmp from any to any in icmptype 0,11 # ident-Anfragen mit einem TCP-RST-Paket beantworten, Anfragen werden z.B. # manchmal von SMTP-Servern gemacht und ohne diese Regel kommt es zu # Verzoegerungen, da die Pakete dann nur fallengelassen werden und die # Gegenstelle eine Weile auf eine Antwort wartet add reset tcp from any to any 113 in recv tun0 # alle anderen Pakete ignorieren und loggen add deny log ip from any to any