modules/ferm/templates/dsa.d-010-base.conf.erb

   1 ##
   2 ## THIS FILE IS UNDER PUPPET CONTROL. DON'T EDIT IT HERE.
   3 ## USE: git clone git+ssh://$USER@puppet.debian.org/srv/puppet.debian.org/git/dsa-puppet.git
   4 ##
   5
   6 domain (ip ip6) {
   7         table filter {
   8               chain log_and_reject {
   9                       NFLOG nflog-prefix "REJECT: ";
  10                       proto tcp REJECT reject-with tcp-reset;
  11                       REJECT;
  12               }
  13
  14               chain log_or_drop {
  15                       mod hashlimit hashlimit-name nflogreject  hashlimit-mode srcip hashlimit-burst 10 hashlimit 1/second jump log_and_reject;
  16                       mod hashlimit hashlimit-name nfloglogdrop hashlimit-mode srcip hashlimit-burst 10 hashlimit 1/second NFLOG nflog-prefix "DROP: ";
  17                       DROP;
  18               }
  19
  20         }
  21 }
  22 domain (ip ip6) {
  23         table filter {
  24               chain INPUT {
  25                       policy ACCEPT;
  26                       mod state state (ESTABLISHED RELATED) ACCEPT;
  27                       interface lo ACCEPT;
  28                       proto icmp ACCEPT;
  29                       # some of our hosts (e.g. villa and lobos) do ipv6 via tunnels (proto 41)
  30                       # this requires we allow proto ipv6 to work in all cases.
  31                       # without this, ipv6 connectivity only works once the host itself
  32                       # created some ipv6 connectivity to some place.
  33                       proto ipv6 ACCEPT;
  34                       mod state state (INVALID) DROP;
  35               }
  36         }
  37 }