OSDN Git Service

Merge Official Source
[immortalwrt/immortalwrt.git] / package / network / config / firewall / files / firewall.config
1 config defaults
2         option syn_flood        1
3         option input            ACCEPT
4         option output           ACCEPT
5         option forward          REJECT
6         option fullcone 1
7 # Uncomment this line to disable ipv6 rules
8 #       option disable_ipv6     1
9
10 config zone
11         option name             lan
12         list   network          'lan'
13         option input            ACCEPT
14         option output           ACCEPT
15         option forward          ACCEPT
16
17 config zone
18         option name             wan
19         list   network          'wan'
20         list   network          'wan6'
21         option input            REJECT
22         option output           ACCEPT
23         option forward          REJECT
24         option masq             1
25         option mtu_fix          1
26
27 config forwarding
28         option src              lan
29         option dest             wan
30
31 # We need to accept udp packets on port 68,
32 # see https://dev.openwrt.org/ticket/4108
33 config rule
34         option name             Allow-DHCP-Renew
35         option src              wan
36         option proto            udp
37         option dest_port        68
38         option target           ACCEPT
39         option family           ipv4
40
41 # Allow IPv4 ping
42 config rule
43         option name             Allow-Ping
44         option src              wan
45         option proto            icmp
46         option icmp_type        echo-request
47         option family           ipv4
48         option target           ACCEPT
49
50 config rule
51         option name             Allow-IGMP
52         option src              wan
53         option proto            igmp
54         option family           ipv4
55         option target           ACCEPT
56
57 # Allow DHCPv6 replies
58 # see https://github.com/openwrt/openwrt/issues/5066
59 config rule
60         option name             Allow-DHCPv6
61         option src              wan
62         option proto            udp
63         option dest_port        546
64         option family           ipv6
65         option target           ACCEPT
66
67 config rule
68         option name             Allow-MLD
69         option src              wan
70         option proto            icmp
71         option src_ip           fe80::/10
72         list icmp_type          '130/0'
73         list icmp_type          '131/0'
74         list icmp_type          '132/0'
75         list icmp_type          '143/0'
76         option family           ipv6
77         option target           ACCEPT
78
79 # Allow essential incoming IPv6 ICMP traffic
80 config rule
81         option name             Allow-ICMPv6-Input
82         option src              wan
83         option proto    icmp
84         list icmp_type          echo-request
85         list icmp_type          echo-reply
86         list icmp_type          destination-unreachable
87         list icmp_type          packet-too-big
88         list icmp_type          time-exceeded
89         list icmp_type          bad-header
90         list icmp_type          unknown-header-type
91         list icmp_type          router-solicitation
92         list icmp_type          neighbour-solicitation
93         list icmp_type          router-advertisement
94         list icmp_type          neighbour-advertisement
95         option limit            1000/sec
96         option family           ipv6
97         option target           ACCEPT
98
99 # Allow essential forwarded IPv6 ICMP traffic
100 config rule
101         option name             Allow-ICMPv6-Forward
102         option src              wan
103         option dest             *
104         option proto            icmp
105         list icmp_type          echo-request
106         list icmp_type          echo-reply
107         list icmp_type          destination-unreachable
108         list icmp_type          packet-too-big
109         list icmp_type          time-exceeded
110         list icmp_type          bad-header
111         list icmp_type          unknown-header-type
112         option limit            1000/sec
113         option family           ipv6
114         option target           ACCEPT
115
116 config rule
117         option name             Allow-IPSec-ESP
118         option src              wan
119         option dest             lan
120         option proto            esp
121         option target           ACCEPT
122
123 config rule
124         option name             Allow-ISAKMP
125         option src              wan
126         option dest             lan
127         option dest_port        500
128         option proto            udp
129         option target           ACCEPT
130
131 # allow interoperability with traceroute classic
132 # note that traceroute uses a fixed port range, and depends on getting
133 # back ICMP Unreachables.  if we're operating in DROP mode, it won't
134 # work so we explicitly REJECT packets on these ports.
135 config rule
136         option name             Support-UDP-Traceroute
137         option src              wan
138         option dest_port        33434:33689
139         option proto            udp
140         option family           ipv4
141         option target           REJECT
142         option enabled          false
143
144 # include a file with users custom iptables rules
145 config include
146         option path /etc/firewall.user
147
148
149 ### EXAMPLE CONFIG SECTIONS
150 # do not allow a specific ip to access wan
151 #config rule
152 #       option src              lan
153 #       option src_ip   192.168.45.2
154 #       option dest             wan
155 #       option proto    tcp
156 #       option target   REJECT
157
158 # block a specific mac on wan
159 #config rule
160 #       option dest             wan
161 #       option src_mac  00:11:22:33:44:66
162 #       option target   REJECT
163
164 # block incoming ICMP traffic on a zone
165 #config rule
166 #       option src              lan
167 #       option proto    ICMP
168 #       option target   DROP
169
170 # port redirect port coming in on wan to lan
171 #config redirect
172 #       option src                      wan
173 #       option src_dport        80
174 #       option dest                     lan
175 #       option dest_ip          192.168.16.235
176 #       option dest_port        80
177 #       option proto            tcp
178
179 # port redirect of remapped ssh port (22001) on wan
180 #config redirect
181 #       option src              wan
182 #       option src_dport        22001
183 #       option dest             lan
184 #       option dest_port        22
185 #       option proto            tcp
186
187 ### FULL CONFIG SECTIONS
188 #config rule
189 #       option src              lan
190 #       option src_ip   192.168.45.2
191 #       option src_mac  00:11:22:33:44:55
192 #       option src_port 80
193 #       option dest             wan
194 #       option dest_ip  194.25.2.129
195 #       option dest_port        120
196 #       option proto    tcp
197 #       option target   REJECT
198
199 #config redirect
200 #       option src              lan
201 #       option src_ip   192.168.45.2
202 #       option src_mac  00:11:22:33:44:55
203 #       option src_port         1024
204 #       option src_dport        80
205 #       option dest_ip  194.25.2.129
206 #       option dest_port        120
207 #       option proto    tcp