Auspiciantes:
Traduccion de Arno-Iptables-Firewall
Saludos, adjunto la traduccion V.1 del Archivo firewall.conf de arno-iptables-firewall
################################################## #############################
# Debes poner este archivo de configuración en / etc / iptables-Arno-firewall / #
################################################## #############################
# Configuración --------------------------- -------------------- archivo ----------
# -= Iptables Arno firewall =-
# Un solo servidor de seguridad y multitarjeta guión con DSL / ADSL de apoyo
#
# (C) Copyright 2001-2009 by Arno van Amersfoort
# Página web: http://rocky.eld.leidenuniv.nl/
# Freshmeat: http://freshmeat.net/projects/iptables-firewall/?topic_id=151
# Correo electrónico: Arnova en Rocky PUNTO eld leidenuniv DOT DOT nl
# (Nota: debe quitar todos los espacios y sustituir la @ y el.
# En lugares adecuados!)
# ------------------------------------------------- ----------------------------
# Este programa es software libre, puede redistribuirlo y / o
# Modificarlo bajo los términos de la GNU General Public License
# 2 versión publicada por la Free Software Foundation.
# Este programa se distribuye con la esperanza de que sea útil, pero SIN
# NINGUNA GARANTÍA, incluso sin la garantía implícita de comerciabilidad o
# IDONEIDAD PARA UN PROPÓSITO PARTICULAR. Consulte la GNU Licencia Pública General de
# Más detalles.
# Deberías haber recibido una copia de la GNU General Public License junto con
# Este programa, si no, escriba a la Free Software Foundation Inc., 59 Temple Lugar # - Suite 330, Boston, MA 02111-1307, EE.UU..
# ------------------------------------------------- ----------------------------
################################################## #############################
# Externo (Internet) valores de la interfaz #
################################################## #############################
# La interfaz externa (s) que serán protegidas (y se utiliza como Internet
# Conexión). Esto es probablemente ppp + + o DSL para no transparentes (!) (A) DSL
# módems de lo contrario es probable que sea "ethX" (por ejemplo, br0). Múltiples interfaces deben
# Separadas por espacios.
# ------------------------------------------------- ----------------------------
# Esta configuración es debconf gestionará! No cambies nada aquí a menos que
# SABER LO QUE ESTÁ HACIENDO.
# Usa 'dpkg-reconfigure arno-iptables-firewall "en lugar.
Ext_if = "br0"
# Habilitar si estas máquinas (dinámica) obtiene su IP mediante DHCP (de su
# ISP).
# ------------------------------------------------- ----------------------------
# Esta configuración es debconf gestionará! No cambies nada aquí a menos que
# SABER LO QUE ESTÁ HACIENDO.
# Usa 'dpkg-reconfigure arno-iptables-firewall "en lugar.
EXT_IF_DHCP_IP = 0
# (AJUSTE DE EXPERTOS!) Aquí usted puede especificar su exterior (!) Subred (s). Normalmente
# Estos son detectados automáticamente, pero usted puede hacer caso omiso de aquí. Usted debe
# Sólo utilice este si, por ejemplo. tener una red corporativa y / o ejecutar un
# Servidor DHCP en la externa (!) Interface (s). Usuarios domésticos, que normalmente no
# Touch esta configuración. Múltiples subredes deben ser separadas por espacios.
# No te olvides de especificar un enmascarador de subred correcta (por ejemplo, / 24, / 16 o / 8)!
# ------------------------------------------------- ----------------------------
EXTERNAL_NET # = ""
# (AJUSTE DE EXPERTOS!) Aquí puede especificar la dirección IP (es) utilizado para las emisiones
# De la subred externa (s). Normalmente, estos son detectados automáticamente, pero usted
# Puede hacer caso omiso de ellas aquí. Sólo es necesario establecer esta opción si desea utilizar
# Las variables BROADCAST_XXX_NOLOG y utiliza una transmisión no estándar
# dirección (no *. 255.255.255, *.*. 255,255 o *.*.*. 255)! Así que normalmente salen
# Este vacío debería funcionar bien. Las direcciones múltiples deben separadas por espacios.
# ------------------------------------------------- ----------------------------
EXT_NET_BCAST_ADDRESS # = ""
# Habilitar esta opcion si esta máquina se está ejecutando un servidor DHCP (BOOTP) del servidor para una subred en la
# Las externas (!) De la interfaz. Tenga en cuenta que no es necesario esto para internos
# subredes, en cuanto a todo lo que estas redes se acepta de forma predeterminada.
# ------------------------------------------------- ----------------------------
EXTERNAL_DHCP_SERVER = 1
################################################## #############################
# Interior (LAN) configuración de la interfaz #
################################################## #############################
# Especifique aquí su red interna (LAN) Interfaz (s). Múltiple (!) Interfaces
# Debe ser separadas por espacios. Observación esto si no tienen ninguna red interna
# interfaces. Tenga en cuenta que el tráfico por defecto TODO es aceptada de estos
# interfaces.
# ------------------------------------------------- ----------------------------
# Esta configuración es debconf gestionará! No cambies nada aquí a menos que
# SABER LO QUE ESTÁ HACIENDO.
# Usa 'dpkg-reconfigure arno-iptables-firewall "en lugar.
Int_if = "eth1 tap0"
# Permite definir la subred interna (s) que pertenece a la interfaz interna (s)
# (Int_if). Normalmente, estos son detectados automáticamente, pero usted puede hacer caso omiso de
# A continuación. Para múltiples interfaces (!) Puede especificar varias subredes
# Aquí o especificar una subred grande para todas las interfaces internas. Tenga en cuenta que este
# variable se utiliza principalmente para antispoofing.
# ------------------------------------------------- ----------------------------
# Esta configuración es debconf gestionará! No cambies nada aquí a menos que
# SABER LO QUE ESTÁ HACIENDO.
# Usa 'dpkg-reconfigure arno-iptables-firewall "en lugar.
INTERNAL_NET = "192.168.0.0/24"
# (AJUSTE DE EXPERTOS!) Aquí puede especificar la dirección IP (es) utilizado para las emisiones
# De la subred interna (s). Normalmente, estos son detectados automáticamente, pero usted
# Puede hacer caso omiso de ellas aquí. Sólo es necesario establecer esta opción si desea utilizar
# El filtro por MAC y se utiliza una dirección de difusión no convencionales
# (No *. 255.255.255, *.*. 255,255 o *.*.*. 255)! Así que normalmente salen
# Este vacío debería funcionar bien. Varias direcciones (si tiene varios
# Redes internas) deben ser separadas por espacios.
# ------------------------------------------------- ----------------------------
INT_NET_BCAST_ADDRESS # = ""
################################################## #############################
# DMZ (también conocida como zona desmilitarizada) la configuración #
################################################## #############################
# Poner en la siguiente variable de las interfaces de red que están clasificados de DMZ.
# También puede utilizar esta interfaz si desea proteger su red inalámbrica
# De su LAN.
# ------------------------------------------------- ----------------------------
DMZ_IF = ""
# Permite definir la subred que se conecta a la interfaz DMZ (DMZ_IF).
# Para múltiples interfaces (!) Puede especificar varias subredes aquí o
# Especificar una subred grande para todas las interfaces de zona de despeje.
# ------------------------------------------------- ----------------------------
DMZ_NET = ""
################################################## #############################
# NAT (Masquerade, SNAT, DNAT) la configuración #
################################################## #############################
# Habilitar esta opcion si desea realizar NAT (enmascaramiento) de tu interior
# red (LAN) (por ejemplo, compartir su conexión a Internet con su red interna
# Neto (s) conectado con, por ejemplo. Int_if).
# ------------------------------------------------- ----------------------------
# Esta configuración es debconf gestionará! No cambies nada aquí a menos que
# SABER LO QUE ESTÁ HACIENDO.
# Usa 'dpkg-reconfigure arno-iptables-firewall "en lugar.
NAT = 1
# (AJUSTE DE EXPERTOS!) En caso de que desee utilizar en lugar de SNAT
# Enmascaramiento luego descomentar y configurar la dirección IP o IP estática de tu aquí
# Dirección externa (es). Tenga en cuenta que cuando se especifican varias IPs, SNAT
# MultiRoute está habilitado (el equilibrio de carga a través de múltiples externa (Internet)
# interfaces, consulte el archivo README para más información). Tenga en cuenta que el orden de los PI
# Debe coincidir con el orden de las interfaces (pertenecen a) en $ ext_if!
# ------------------------------------------------- ----------------------------
NAT_STATIC_IP = ""
# (AJUSTE DE EXPERTOS!) Utilice esta variable sólo si desea o determinadas subredes
# anfitriones para poder acceder a Internet. Cuando no se especifica un valor, su
# Red interna conjunto tendrán acceso. En ambos casos es evidente que sólo
# Significativa cuando NAT está habilitada. Tenga en cuenta que también puede utilizar esta variable si
# Desea utilizar NAT para su zona de distensión.
# ------------------------------------------------- ----------------------------
# Esta configuración es debconf gestionará! No cambies nada aquí a menos que
# SABER LO QUE ESTÁ HACIENDO.
# Usa 'dpkg-reconfigure arno-iptables-firewall "en lugar.
NAT_INTERNAL_NET = 1
# (EXPERTOS AJUSTE!) Habilitar esta opción si quiere ser capaz de redirigir los puertos locales
# O protocolos sobre el portal de acceso hacia delante utilizando NAT.
# ------------------------------------------------- ----------------------------
NAT_LOCAL_REDIRECT = 0
# NAT TCP / UDP / IP hacia adelante. Reenviar puertos o protocolos de la puerta de entrada a
# A través de un cliente interno (D) NAT. Recuerde que también puede utilizar estos
# variables que transmita los puertos a las máquinas DMZ.
#
# TCP / UDP formulario:
# "(SRCIP1, SRCIP2 ,...~} PORT1, ,...> DESTIP1 PORT2-PORT3 ~ (puerto) \
# (,...~} SRCIP3 PORT3 DESTIP2 ,...> (port) ~ "
#
# IP formulario:
# "(SRCIP1, SRCIP2 ,...~} PROTO1, PROTO2 ,...> DESTIP1 \
# () ~ SRCIP3 PROTO3, PROTO4 ,...> DESTIP2 "
#
# TCP / UDP puerto ejemplos a seguir: Simple
# (adelante el puerto 80 para internos de tipo 192.168.0.10): NAT_FORWARD_xxx # = "80> 20,21 192.168.0.10> 192.168.0.10"
# Avanzada (adelante el puerto 20 y 21 a 192.168.0.10 y
# Adelante desde 1.2.3.4 puerto 81 a 192.168.0.11 puerto 80: NAT_FORWARD_xxx # = "1.2.3.4 ~ 81> 192.168.0.11 ~ 80"
#
# protocolo IP hacia adelante ejemplo:
# (Protocolos adelante 47 y 48 a 192.168.0.10)NAT_FORWARD_IP # = "47,48> 192.168.0.10"
#
# NOTA 1: (port) ~ es opcional. Se usa para redirigir un puerto específico para una
# Puerto diferente en el cliente interno.
# NOTA 2: () SRCIPx es opcional. Se usa para restringir el acceso a fuentes específicas
# (Inet) direcciones IP.
# ------------------------------------------------- ----------------------------
NAT_FORWARD_TCP = "3389> 192.168.0.2"
NAT_FORWARD_UDP = ""
NAT_FORWARD_IP = ""
################################################## #############################
# # Configuración general
################################################## #############################
# (AJUSTE DE EXPERTOS!) Ubicación de la iptables-binario (usar 'localizar iptables "o
# 'Whereis iptables para localizar de forma manual), necesario para (por defecto) IPv4 apoyo
# ------------------------------------------------- ----------------------------
IP4TABLES = "/ sbin / iptables"
# (AJUSTE DE EXPERTOS!) Ubicación de la ip6tables-binario (usar 'localizar ip6tables »o
# 'Whereis ip6tables para localizar de forma manual), necesarios para la compatibilidad con IPv6
# ------------------------------------------------- ----------------------------
Ip6tables = "/ sbin/ip6tables"
# (AJUSTE DE EXPERTOS!) Ubicación del archivo de entorno
# ------------------------------------------------- ----------------------------
ENV_FILE = "/ usr / share / arno-iptables-firewall / medio ambiente"
# (AJUSTE DE EXPERTOS!) Ubicación del plugin binario y archivos de configuración
# ------------------------------------------------- ----------------------------
PLUGIN_BIN_PATH = "/ usr / share / arno-iptables-firewall / plugins"
PLUGIN_CONF_PATH = "/ etc / iptables-Arno-firewall / plugins"
# La mayoría de la gente no quiere obtener ninguna registros del firewall que se escupen a la consola.
# Esta opción hace que la memoria cíclica núcleo sólo registrar mensajes con el nivel
# "Pánico".
# ------------------------------------------------- ----------------------------
DMESG_PANIC_ONLY = 1
# Activa esta opción si desea mangling TOS (RFC) (recomendado).
# ------------------------------------------------- ----------------------------
MANGLE_TOS = 1
# Habilitar esta opcion si desea establecer el tamaño máximo de paquete a través de la
# Tamaño máximo del segmento (a través del campo MSS) (recomendado).
# ------------------------------------------------- ----------------------------
SET_MSS = 1
# Habilitar esta opcion si desea aumentar el valor TTL en uno en el prerouting
# cadena. Esto oculta el servidor de seguridad cuando, por ejemplo realizando. las trazas de ruta para internos
# anfitriones.
# ------------------------------------------------- ----------------------------
TTL_INC = 0
# (AJUSTE DE EXPERTOS!) Habilitar esta opción si desea establecer el valor TTL para los paquetes en
# Y la SALIDA HACIA ADELANTE cadena. Tenga en cuenta que esto sólo funciona con los nuevos núcleos 2.6
# (2.6.14 o superior) o parche kernel 2.4, que han netfilter objetivo TTL
# apoyo. No se meta con esto a menos que realmente sepa lo que está haciendo!
# ------------------------------------------------- ----------------------------
PACKET_TTL # = "64"
# Habilitar esta opcion para resolver los nombres de INTERNET (INET) IPs
# ------------------------------------------------- ----------------------------
RESOLV_IPS = 0
# Habilitar esta opcion para apoyar el protocolo de IRC-.
# ------------------------------------------------- ----------------------------
USE_IRC = 0
# (AJUSTE DE EXPERTOS!) Afloje la cadena hacia adelante para la interfaz externa (s).
# Permitir a permitir el uso de protocolos como UPnP. Tenga en cuenta que * podría * ser
# Menos seguro.
# ------------------------------------------------- ----------------------------
LOOSE_FORWARD = 0
# (AJUSTE DE EXPERTOS!) Habilitar esta opción si quiere eliminar los paquetes procedentes de un
# Dirección privada.
# ------------------------------------------------- ----------------------------
DROP_PRIVATE_ADDRESSES = 0
# (AJUSTE DE EXPERTOS!) Proteger la máquina que se abuse de una DRDOS de ataque
# ("Reflexión distribuidos de denegación de servicio" de ataque). (Todavía experimental!)
# ------------------------------------------------- ----------------------------
DRDOS_PROTECT = 0
# (AJUSTE DE EXPERTOS!) Habilitar esta opción si desea habilitar el tráfico IPv6 apoyo
# (Y desactivar el soporte IPv4).
# ------------------------------------------------- ----------------------------
IPV6_SUPPORT = 0
# Esta opción corrige los problemas con las transmisiones SMB utilizando nmblookup
# ------------------------------------------------- ----------------------------
NMB_BROADCAST_FIX = 0
# Establezca a 0 para reprimir a los "asumiendo módulo está compilado en el kernel" mensajes
# ------------------------------------------------- ----------------------------
COMPILED_IN_KERNEL_MESSAGES = 1
# (AJUSTE DE EXPERTOS!) Puede elegir la política por defecto para la ENTRADA Y ADELANTE
# Cadena de aquí (1 = DROP, 0 = ACCEPT). La política por defecto es DROP. Esto significa que
# Cuando no hay regla (s) disponible (todavía), el paquete será dado de baja. En
# Práctica esta regla sólo hace algo, mientras que el servidor de seguridad está comenzando. Una vez
# Que se arranque y todas las reglas están en su lugar, la política por defecto no lo hace
# Nada. Las personas que utilizan por ejemplo. NFS y dejar que sus clientes desde el arranque NFS
# (Sistemas sin disco del cliente), probablemente desee deshabilitar esta opción de fijar
# "NFS El servidor no responde" errores, etc a sus clientes.
# ------------------------------------------------- ----------------------------
DEFAULT_POLICY_DROP = 1
# (AJUSTE DE EXPERTOS!) (Otros) interfaces de red de confianza para los que ALL IP
# Tráfico deben ser aceptados. (Múltiple (!) Interfaces deben ser el espacio
# Separados). Se advirtió que cualquier cosa hacia y desde estos interfaces se permite
# (ACEPTADO) para asegurarse de que NO se enrutable (accesible) del mundo exterior
# (Internet)! Y, por supuesto, poner una de sus interfaces externas que aquí se
# Ser muy estúpido.
# ------------------------------------------------- ----------------------------
TRUSTED_IF = ""
# (AJUSTE DE EXPERTOS!) Ponga aquí las interfaces que se debe confiar
# Entre sí (acepta reenviar el tráfico). Usted puede utilizar | (tuberías-sign) para crear
# Interfaz de grupos independientes. Y (otra vez), por supuesto, poner uno de sus externos
# interfaces que aquí sería muy estúpido.
# ------------------------------------------------- ----------------------------
IF_TRUSTS = ""
# Ubicación del archivo personalizado de reglas de iptables (si existe).
# ------------------------------------------------- ----------------------------
CUSTOM_RULES = "/ etc / iptables-Arno-firewall / personalizado en normas"
# Localización de los locales (usuario / global) archivo de configuración, si se utiliza
# ------------------------------------------------- ----------------------------
LOCAL_CONFIG_FILE = ""
# Establezca esta (a 1) para desactivar el uso de iptables-save e iptables restaurar-
# Para agregar reglas de lotes en vez de uno por uno. Mucho más lenta si se inhabilita.
# BLOCK_HOSTS y BLOCK_HOSTS_FILE utiliza esta característica.
# ------------------------------------------------- ----------------------------
DISABLE_IPTABLES_BATCH = 0
# (AJUSTE DE EXPERTOS!) Fije este (a 1) para habilitar el seguimiento
# ------------------------------------------------- ----------------------------
Trace = 0
################################################## #############################
# Opciones de registro - Todos registro está limitada tasa de registro para evitar las inundaciones #
################################################## #############################
# Habilitar registro para los anfitriones explícitamente bloqueado.
# ------------------------------------------------- ----------------------------
BLOCKED_HOST_LOG = 1
# Habilitar registro para las exploraciones de sigilo diversos (fiable).
# ------------------------------------------------- ----------------------------
SCAN_LOG = 1
# Habilitar registro para las exploraciones de sigilo posible (menos fiable).
# ------------------------------------------------- ----------------------------
POSSIBLE_SCAN_LOG = 1
# Habilitar registro de paquetes TCP con banderas mal.
# ------------------------------------------------- ----------------------------
BAD_FLAGS_LOG = 1
# Habilitar registro de paquetes TCP no válido. Mantenga con discapacidad (0) por defecto para reducir
# NO VÁLIDO paquetes que se registra debido a la pérdida (legimate) las conexiones. ¿Cuándo
# Depurar cualquier problema, usted debe poder (temporalmente)!
# ------------------------------------------------- ----------------------------
INVALID_TCP_LOG = 0
# Habilitar registro válido de paquetes UDP. Mantenga con discapacidad (0) por defecto para reducir
# NO VÁLIDO paquetes que se registra debido a la pérdida (legimate) las conexiones. ¿Cuándo
# Depurar algún problema, usted debe poder (temporalmente)!
# ------------------------------------------------- ----------------------------
INVALID_UDP_LOG = 0
# Habilitar registro de paquetes ICMP no válidos. Mantenga con discapacidad (0) por defecto para reducir
# NO VÁLIDO paquetes que se registra debido a la pérdida (legimate) las conexiones. ¿Cuándo
# Depurar cualquier problema, usted debe poder (temporalmente)!
# ------------------------------------------------- ----------------------------
INVALID_ICMP_LOG = 0
# Habilitar registro de direcciones IP con direcciones fuente reservados.
# ------------------------------------------------- ----------------------------
RESERVED_NET_LOG = 1
# Habilitar registro de paquetes fragmentados.
# ------------------------------------------------- ----------------------------
FRAG_LOG = 1
# Habilitar registro de denegación de local (OUTPUT) conexiones.
# ------------------------------------------------- ----------------------------
INET_OUTPUT_DENY_LOG = 1
# Habilitar el registro de denegación de la salida LAN (FORWARD) las conexiones.
# ------------------------------------------------- ----------------------------
LAN_OUTPUT_DENY_LOG = 1
# Habilitar registro de denegación de LAN conexiones de entrada.
# ------------------------------------------------- ----------------------------
LAN_INPUT_DENY_LOG = 1
# Habilitar registro de denegación de la salida DMZ (FORWARD) las conexiones.
# ------------------------------------------------- ----------------------------
DMZ_OUTPUT_DENY_LOG = 1
# Habilitar registro de denegación de entrada DMZ (FORWARD) las conexiones.
# ------------------------------------------------- ----------------------------
DMZ_INPUT_DENY_LOG = 1
# Habilitar registro de paquetes perdidos en ICMP petición (ping).
# ------------------------------------------------- ----------------------------
ICMP_REQUEST_LOG = 1
# Habilitar registro de caer "otros" paquetes ICMP.
# ------------------------------------------------- ----------------------------
ICMP_OTHER_LOG = 1
# Habilitar el registro de intentos de conexión normal a los puertos TCP privilegiada.
# ------------------------------------------------- ----------------------------
PRIV_TCP_LOG = 1
# Habilitar el registro de intentos de conexión normal a los puertos UDP privilegiada.
# ------------------------------------------------- ----------------------------
PRIV_UDP_LOG = 1
# Habilitar el registro de intentos de conexión normal sin privilegios puertos TCP.
# ------------------------------------------------- ----------------------------
UNPRIV_TCP_LOG = 1
# Habilitar el registro de intentos de conexión normal sin privilegios puertos UDP.
# ------------------------------------------------- ----------------------------
UNPRIV_UDP_LOG = 1
# Habilitar el registro de intentos de conexión normal a "otro-IP", protocolos (no
# TCP / UDP / ICMP).
# ------------------------------------------------- ----------------------------
OTHER_IP_LOG = 1
# Habilitar registro de inundación ICMP.
# ------------------------------------------------- ----------------------------
ICMP_FLOOD_LOG = 1
# (AJUSTE DE EXPERTOS!) La ubicación del archivo de registro del firewall dedicado. ¿Cuándo
# Habilitado el script de firewall también registro de arranque / parada, etc información a este archivo
# También. Tenga en cuenta que para que esto funcione, debe configurar también
# Syslogd para registrar los mensajes de servidor de seguridad para este archivo (véase más abajo para más LOGLEVEL
# Más información).
# ------------------------------------------------- ----------------------------
FIREWALL_LOG = "/ var / log / firewall arno-iptables-"
# (AJUSTE DE EXPERTOS!) Registro actual nivel ("info": kernel predeterminado syslog nivel)
# "Debug": se puede utilizar para iniciar sesión en / var / log / firewall.log, pero usted tiene que configurar
# Syslogd en consecuencia (ver incluidos ejemplos syslogd.conf).
# ------------------------------------------------- ----------------------------
LOGLEVEL = "info"
# Ponga en las siguientes variables que alberga desea registrar ciertas entrantes
# Intentos de conexión de.
# Formato TCP / UDP (LOG_HOST_INPUT_xxx):
# "Host1, host2 ~ Port1, port2 host3, host4 ~ port3, port4 ..."
#
# Formato del protocolo IP (LOG_HOST_INPUT_IP):
# "Host1, host2 ~ proto1, proto2 host3, host4 ~ proto4, proto4 ..."
# ------------------------------------------------- ----------------------------
LOG_HOST_INPUT_TCP = ""
LOG_HOST_INPUT_UDP = ""
LOG_HOST_INPUT_IP = ""
# Ponga en las siguientes variables que alberga desea registrar ciertos salientes
# Intentos de conexión de.
# Formato TCP / UDP (LOG_HOST_OUTPUT_xxx):
# "Host1, host2 ~ Port1, port2 host3, host4 ~ port3, port4 ..."
#
# Formato del protocolo IP (LOG_HOST_OUTPUT_IP):
# "Host1, host2 ~ proto1, proto2 host3, host4 ~ proto4, proto4 ..."
# ------------------------------------------------- ----------------------------
LOG_HOST_OUTPUT_TCP = ""
LOG_HOST_OUTPUT_UDP = ""
LOG_HOST_OUTPUT_IP = ""
# Ponga en las siguientes variables que los servicios que desea iniciar sesión entrante
# Intentos de conexión de.
# ------------------------------------------------- ----------------------------
LOG_INPUT_TCP = ""
LOG_INPUT_UDP = ""
LOG_INPUT_IP = ""
# Ponga en las siguientes variables que los servicios que desea iniciar sesión saliente
# Intentos de conexión de.
# ------------------------------------------------- ----------------------------
LOG_OUTPUT_TCP = ""
LOG_OUTPUT_UDP = ""
LOG_OUTPUT_IP = ""
# Poner en la siguiente variable que alberga desea registrar conexión entrante
# (Intentos) para.
# ------------------------------------------------- ----------------------------
LOG_HOST_INPUT = ""
# Poner en la siguiente variable que alberga desea registrar conexión saliente
# (Intentos) para.
# ------------------------------------------------- ----------------------------
LOG_HOST_OUTPUT = ""
################################################## #############################
# Sysctl configuración basada (Valores expertos!) #
################################################## #############################
# Activa para la protección Synflood (a través de / proc / ... / tcp_syncookies).
# ------------------------------------------------- ----------------------------
SYN_PROT = 1
# Activa esto para reducir la capacidad de otros DOS'ing su máquina.
# ------------------------------------------------- ----------------------------
REDUCE_DOS_ABILITY = 1
# Permitir a ignorar todas las peticiones de eco ICMP-(IPv4) en todas las interfaces.
# ------------------------------------------------- ----------------------------
ECHO_IGNORE = 0
# Permitir a los paquetes con registro de direcciones imposibles al registro del núcleo.
# ------------------------------------------------- ----------------------------
LOG_MARTIANS = 0
# Sólo desactivar esta usando, si usted no está de reenvío (necesario para la NAT, etc) para
# Seguridad aumentado.
# ------------------------------------------------- ----------------------------
Ip_forwarding = 1
# Habilitar si desea aceptar mensajes de redirección ICMP. En caso de estar en "0" en
# Caso de un router.
# ------------------------------------------------- ----------------------------
ICMP_REDIRECT = 0
# Activa / modificar esto si quiere ser una capaz de manejar una mayor (o menor)
# Número de conexiones simultáneas. Para las máquinas de alto tráfico recomiendo
# Utilizar un valor de al menos 16384 (tenga en cuenta que un valor más alto (obviamente) también utiliza
# Más memoria).
# ------------------------------------------------- ----------------------------
Conntrack = 16384
# Activa ECN (Explicit Congestion Notification) flag TCP. Desactivados por defecto,
# Ya que algunos routers son aún no es compatible con esto.
# ------------------------------------------------- ----------------------------
NEC = 0
# Permitir a abandonar las conexiones desde direcciones IP no enrutable, por ejemplo. fuente de prevenir
# Enrutamiento. Por defecto el cortafuegos también establece normas contra la fuente
# Enrutamiento. Tenga en cuenta que cuando se utiliza por ejemplo. VPN (freeswan), probablemente debería
# Deshabilitar esta opción.
# ------------------------------------------------- ----------------------------
Rp_filter = 1
# Protección contra el origen de los paquetes enviados. Los atacantes pueden usar para el enrutamiento de origen
# Generar tráfico pretendiendo ser del interior de su red, pero que es
# Derrotado de nuevo por la senda de la que procede, es decir, fuera, por lo que los atacantes
# Puede comprometer su red. Fuente de enrutamiento se utiliza muy poco para la legítima
# propósitos, por lo que normalmente siempre se debe dejar este habilitado (1)!
# ------------------------------------------------- ----------------------------
SOURCE_ROUTE_PROTECTION = 1
# Aquí establecemos el rango de puerto local (los puertos de los que las conexiones estén
# Iniciarse a partir de nuestro sitio). No se meta con esto a menos que realmente sepa lo
# Que está haciendo!
# ------------------------------------------------- ----------------------------
LOCAL_PORT_RANGE = "32768 61000"
# Aquí puede cambiar el TTL predeterminado que se utiliza para el envío de paquetes. El valor
# Debe estar entre 10 y 255. No se meta con esto a menos que realmente sepa
# Lo que está haciendo!
# ------------------------------------------------- ----------------------------
DEFAULT_TTL = 64
# En la mayoría de los casos el descubrimiento de PMTU está bien, pero en algunos casos raros (al tener
problemas #) es posible que desee deshabilitar.
# ------------------------------------------------- ----------------------------
NO_PMTU_DISCOVERY = 0
################################################## #############################
# Firewall de políticas para la LAN (Valores expertos!) #
################################################## #############################
################################################## #############################
# LAN_xxx = LAN-> localhost (este equipo) reglas de entrada de acceso #
# #
# Tenga en cuenta que cuando ambos LAN_OPEN_xxx LAN_HOST_OPEN_xxx y no se utilizan, el #
# Política por defecto para esta cadena es aceptable (a no ser negado a través de #
# LAN_DENY_xxx y / o LAN_HOST_DENY_xxx)! #
################################################## #############################
# Habilitar esta opcion para permitir peticiones ICMP (ping) de su LAN
# ------------------------------------------------- ----------------------------
LAN_OPEN_ICMP = 1
# Ponga en las siguientes variables de la TCP / UDP puertos o protocolos IP AL
# (Remoto punto final), que los anfitriones LAN están autorizados a conectarse.
# ------------------------------------------------- ----------------------------
LAN_OPEN_TCP = ""
LAN_OPEN_UDP = ""
LAN_OPEN_IP = ""
# Ponga en las siguientes variables de la TCP / UDP puertos o protocolos IP A (mando a distancia
# end-point) que alberga LAN NO están autorizados para conectar.
# ------------------------------------------------- ----------------------------
LAN_DENY_TCP = ""
LAN_DENY_UDP = ""
LAN_DENY_IP = ""
# Ponga en las siguientes variables de la TCP / UDP o IP protocolos # A (mando a distancia de punto final), que son determinados hosts de LAN
# Permite conectarse.
#
# Formato TCP / UDP (LAN_INPUT_HOST_OPEN_xxx):
# "Host1, host2 ~ Port1, port2 host3, host4 ~ port3, port4 ..."
#
# Formato del protocolo IP (LAN_INPUT_HOST_OPEN_xxx):
# "Host1, host2 ~ proto1, proto2 host3, host4 ~ proto3, proto4 ..."
# ------------------------------------------------- ----------------------------
LAN_HOST_OPEN_TCP = ""
LAN_HOST_OPEN_UDP = ""
LAN_HOST_OPEN_IP = ""
# Ponga en las siguientes variables de la TCP / UDP puertos o protocolos IP A (mando a distancia
# end-point) que alberga ciertas LAN NO están autorizados para conectar.
#
# Formato TCP / UDP (LAN_INPUT_HOST_DENY_xxx):
# "Host1, host2 ~ Port1, port2 host3, host4 ~ port3, port4 ..."
#
# Formato del protocolo IP (LAN_INPUT_HOST_DENY_xxx):
# "Host1, host2 ~ proto1, proto2 host3, host4 ~ proto3, proto4 ..."
# ------------------------------------------------- ----------------------------
LAN_HOST_DENY_TCP = ""
LAN_HOST_DENY_UDP = ""
LAN_HOST_DENY_IP = ""
################################################## #############################
# LAN_INET_xxx = LAN-> normas de acceso a Internet (hacia adelante) #
# #
# Tenga en cuenta que cuando ambos LAN_INET_OPEN_xxx y LAN_INET_HOST_OPEN_xxx NO #
# Usado, la política por defecto para esta cadena es aceptable (a no ser negado #
# Través LAN_INET_DENY_xxx y / o LAN_INET_HOST_DENY_xxx)! #
################################################## #############################
# Habilitar esta opcion para permitir peticiones ICMP (ping) para LAN-> INET
# ------------------------------------------------- ----------------------------
LAN_INET_OPEN_ICMP = 1
# Ponga en las siguientes variables de la TCP / UDP o IP
protocolos # A (mando a distancia de punto final), que son los anfitriones de LAN
# Permite conectarse a través de las externas (Internet) de la interfaz.
# ------------------------------------------------- ----------------------------
LAN_INET_OPEN_TCP = ""
LAN_INET_OPEN_UDP = ""
LAN_INET_OPEN_IP = ""
# Ponga en las siguientes variables de la TCP / UDP puertos o protocolos IP A (mando a distancia
# end-point) que los equipos de una LAN NO están autorizados para conectarse a
# A través de las externas (Internet) de la interfaz. Ejemplos de uso son para el bloqueo
# IRC (TCP 6666:6669) para la red interna.
# ------------------------------------------------- ----------------------------
LAN_INET_DENY_TCP = ""
LAN_INET_DENY_UDP = ""
LAN_INET_DENY_IP = ""
# Ponga en las siguientes variables, que alberga LAN desea permitir a ciertos
# hosts / servicios en Internet. Por defecto, todos los servicios están autorizados.
#
# TCP / UDP formulario:
# "SRCIP1, ,...> SRCIP2 DESTIP1 ~ \ puerto
# SRCIP3 DESTIP2 ,...> puerto ~ "
#
# IP formulario:
# "SRCIP1, ,...> SRCIP2 DESTIP1 ~ \ protocolo
# SRCIP3 DESTIP2 ,...> protocolo ~ "
#
# TCP / UDP ejemplos: Simple #:
# (Deje el puerto 80 en el host INET 1.2.3.4 para todos los hosts de LAN (0 / 0)):LAN_INET_HOST_OPEN_xxx # = "0 / 0> 1.2.3.4 ~ 80"
# Avanzada:
# (Deje el puerto 20 y 21 en el host INET 1.2.3.4 para todos los equipos de una LAN (0 / 0) y
# Permitir el puerto 80 en el host INET 1.2.3.4 para LAN de host 192.168.0.10 (únicamente)):LAN_INET_HOST_OPEN_xxx # = "0 / 0> 1.2.3.4 ~ 20,21 192.168.0.10> 80"
#
# IP protocolo ejemplo:
# (Permitir protocolos 47 y 48 en el host INET 1.2.3.4 para todos los hosts LAN (0 / 0))LAN_INET_HOST_OPEN_IP # = "0 / 0> 1.2.3.4 ~ 47,48"
#
# NOTA 1: Si no SRCIPx se especifica, el anfitrión de cualquier fuente se utiliza
# NOTA 2: Si no se especifica DESTIPx, cualquier host de destino se utiliza
# 3 NOTA: Si no se especifica el puerto, un puerto se utiliza
# ------------------------------------------------- ----------------------------
LAN_INET_HOST_OPEN_TCP = ""
LAN_INET_HOST_OPEN_UDP = ""
LAN_INET_HOST_OPEN_IP = ""
# Ponga en las siguientes variables que DMZ host desea denegar a determinados
# hosts / servicios en Internet.
#
# TCP / UDP formulario:
# "SRCIP1, ,...> SRCIP2 DESTIP1 ~ \ puerto
# SRCIP3 DESTIP2 ,...> puerto ~ "
#
# IP formulario:
# "SRCIP1, ,...> SRCIP2 DESTIP1 ~ \ protocolo
# SRCIP3 DESTIP2 ,...> protocolo ~ "
#
# TCP / UDP ejemplos: Simple # (puerto 80 en el host Denegar INET 1.2.3.4 para todos los hosts de LAN (0 / 0)):LAN_INET_HOST_DENY_xxx # = "0 / 0> 1.2.3.4 ~ 80"
# Avanzada (puerto Denegar 20 y 21 en el host INET 1.2.3.4 para todos los equipos de una LAN (0 / 0) y
# Negar el puerto 80 en el host INET 1.2.3.4 para LAN de host 192.168.0.10 (únicamente)):LAN_INET_HOST_DENY_xxx # = "0 / 0> 1.2.3.4 ~ 20,21 192.168.0.10> 1.2.3.4 ~ 80"
#
# IP protocolo ejemplo:
# (Protocolos Denegar 47 y 48 en el host INET 1.2.3.4 para todos los hosts de LAN (0 / 0)):LAN_INET_HOST_DENY_IP # = "0 / 0> 1.2.3.4 ~ 47,48"
#
# NOTA 1: Si no se especifica DESTIPx, cualquier host de destino se utiliza
# NOTA 2: Si no se especifica el puerto, un puerto se utiliza
# ------------------------------------------------- ----------------------------
LAN_INET_HOST_DENY_TCP = ""
LAN_INET_HOST_DENY_UDP = ""
LAN_INET_HOST_DENY_IP = ""
################################################## #############################
# Firewall de políticas para la zona de distensión (Valores expertos!) #
################################################## #############################
################################################## #############################
# DMZ_xxx = DMZ-> localhost (este equipo) reglas de entrada de acceso #
################################################## #############################
# Habilitar esta opcion para permitir peticiones ICMP (ping) de la zona de distensión
# ------------------------------------------------- ----------------------------
DMZ_OPEN_ICMP = 1
# Ponga en las siguientes variables que alberga DMZ pueden conectarse a
# Determinados los puertos TCP / UDP, los protocolos IP o ICMP. Por defecto, todos (local)
# servicios están bloqueadas para los hosts DMZ.
# ------------------------------------------------- ----------------------------
DMZ_OPEN_TCP = ""
DMZ_OPEN_UDP = ""
DMZ_OPEN_IP = ""
# Ponga en las siguientes variables que DMZ host que desea permitir para determinados
# servicios. Por defecto, todos los servicios (locales) están bloqueados para los hosts DMZ.
# TCP / UDP formato puerto (DMZ_HOST_OPEN_TCP y DMZ_HOST_OPEN_UDP):
# "Host1, host2 ~ Port1, port2 host3, host4 ~ port3, port4 ..."
#
# Formato del protocolo IP (DMZ_HOST_OPEN_IP):
# "Host1, host2 ~ proto1, proto2 host3, host4 ~ proto3, proto4 ..."
# ------------------------------------------------- ----------------------------
DMZ_HOST_OPEN_TCP = ""
DMZ_HOST_OPEN_UDP = ""
DMZ_HOST_OPEN_IP = ""
################################################## #############################
# INET_DMZ_xxx = Internet-> DMZ normas de acceso (adelante) #
# #
# Tenga en cuenta que cuando ambos INET_DMZ_OPEN_xxx y INET_DMZ_HOST_OPEN_xxx NO #
# Usado, la política por defecto para esta cadena es aceptable (a no ser negado #
# Través INET_DMZ_DENY_xxx y / o INET_DMZ_HOST_DENY_xxx)! #
################################################## #############################
# Activa esto para hacer la política por defecto permitir ICMP (ping) para INET-> DMZ
# ------------------------------------------------- ----------------------------
INET_DMZ_OPEN_ICMP = 0
# Ponga en las siguientes variables que alberga INET se les permite conectarse a
# De que el TCP / UDP puertos o protocolos IP en la DMZ.
# ------------------------------------------------- ----------------------------
INET_DMZ_OPEN_TCP = ""
INET_DMZ_OPEN_UDP = ""
INET_DMZ_OPEN_IP = ""
# Ponga en las siguientes variables que INET anfitriones no se permiten conectar
# A determinados los puertos TCP / UDP o protocolos IP en la DMZ.
# ------------------------------------------------- ----------------------------
INET_DMZ_DENY_TCP = ""
INET_DMZ_DENY_UDP = ""
INET_DMZ_DENY_IP = ""
# Ponga en las siguientes variables que INET anfitriones desea permitir a ciertos
# hosts / servicios en la red DMZ. Por defecto, todos los servicios están autorizados.
#
# TCP / UDP formulario:
# "SRCIP1, ,...> SRCIP2 DESTIP1 ~ \ puerto
# SRCIP3 DESTIP2 ,...> puerto ~ "
#
# IP formulario:
# "SRCIP1, ,...> SRCIP2 DESTIP1 ~ \ protocolo
# SRCIP3 DESTIP2 ,...> protocolo ~ "
#
# TCP / UDP ejemplos: Simple # (Deje el puerto 80 en el host DMZ para todos los hosts 1.2.3.4 INET (0 / 0)): INET_DMZ_HOST_OPEN_xxx # = "0 / 0> 1.2.3.4 ~ 80"
# Avanzado (Deje el puerto 20 y 21 en el host DMZ para todos los hosts 1.2.3.4 INET (0 / 0) y
# Permitir el puerto 80 en el host DMZ para el host 1.2.3.4 5.6.7.8 INET (únicamente)):INET_DMZ_HOST_OPEN_xxx # = "0 / 0> 1.2.3.4 ~ 20,21 5.6.7.8> 1.2.3.4 ~ 80"
#
# IP protocolo ejemplo:
# (Permitir protocolos 47 y 48 en el host INET 1.2.3.4 para todos los hosts DMZ)INET_DMZ_HOST_OPEN_IP # = "0 / 0> 1.2.3.4 ~ 47,48"
#
# NOTA 1: Si no se especifica SRCIPx, anfitrión de cualquier fuente se utiliza
# NOTA 2: Si no se especifica DESTIPx, cualquier host de destino se utiliza
# 3 NOTA: Si no se especifica el puerto, un puerto se utiliza
# ------------------------------------------------- ----------------------------
INET_DMZ_HOST_OPEN_TCP = ""
INET_DMZ_HOST_OPEN_UDP = ""
INET_DMZ_HOST_OPEN_IP = ""
# Ponga en las siguientes variables que INET anfitriones desea denegar a determinados
# hosts / servicios en la red DMZ.
#
# TCP / UDP formulario:
# "SRCIP1, ,...> SRCIP2 DESTIP1 ~ \ puerto
# SRCIP3 DESTIP2 ,...> puerto ~ "
#
# IP formulario:
# "SRCIP1, ,...> SRCIP2 DESTIP1 ~ \ protocolo
# SRCIP3 DESTIP2 ,...> protocolo ~ "
#
# TCP / UDP ejemplos:Simple # (puerto 80 en Denegar host DMZ para todos los hosts 1.2.3.4 INET (0 / 0)):INET_DMZ_HOST_DENY_xxx # = "0 / 0> 1.2.3.4 ~ 80"
# Avanzada (puerto Denegar 20 y 21 en el host DMZ para todos los hosts 1.2.3.4 INET (0 / 0) y
# Negar el puerto 80 en el host DMZ para el host 1.2.3.4 5.6.7.8 INET (únicamente)):INET_DMZ_HOST_DENY_xxx # = "0 / 0> 1.2.3.4 ~ 20,21 5.6.7.8> 1.2.3.4 ~ 80"
#
# IP protocolo ejemplo:
# (Protocolos Denegar 47 y 48 en el host DMZ para todos los hosts 1.2.3.4 INET):INET_DMZ_HOST_DENY_IP # = "0 / 0> 1.2.3.4 ~ 47,48"
#
# NOTA 1: si no se especifica SRCIPx, anfitrión de cualquier fuente es utilizada
# NOTA 2: Si no se especifica DESTIPx, cualquier host de destino se utiliza
# 3 NOTA: Si no se especifica el puerto, un puerto se utiliza
# ------------------------------------------------- ----------------------------
INET_DMZ_HOST_DENY_TCP = ""
INET_DMZ_HOST_DENY_UDP = ""
INET_DMZ_HOST_DENY_IP = ""
################################################## #############################
# DMZ_INET_xxx = DMZ-> normas de acceso a Internet (hacia adelante) #
# #
# Tenga en cuenta que cuando ambos DMZ_INET_OPEN_xxx y DMZ_INET_HOST_OPEN_xxx NO #
# Usado, la política por defecto para esta cadena es aceptable (a no ser negado #
# Través DMZ_INET_DENY_xxx y / o DMZ_INET_HOST_DENY_xxx)! #
################################################## #############################
# Activa esto para hacer la política por defecto permitir ICMP (ping) para DMZ-> INET
# ------------------------------------------------- ----------------------------
DMZ_INET_OPEN_ICMP = 1
# Ponga en las siguientes variables de la TCP / UDP o IP protocolos
# A (mando a distancia de punto final), que son los anfitriones DMZ
# Permite conectarse a través de las externas (Internet) de la interfaz.
# ------------------------------------------------- ----------------------------
DMZ_INET_OPEN_TCP = ""
DMZ_INET_OPEN_UDP = ""
DMZ_INET_OPEN_IP = ""
# Ponga en las siguientes variables de la TCP / UDP puertos o protocolos IP A (mando a distancia
# end-point) el cual los anfitriones DMZ NO están autorizados para conectarse a
# A través de las externas (Internet) de la interfaz. Ejemplos de uso son para el bloqueo
# IRC (TCP 6666:6669) para la red interna.
# ------------------------------------------------- ----------------------------
DMZ_INET_DENY_TCP = ""
DMZ_INET_DENY_UDP = ""
DMZ_INET_DENY_IP = ""
# Ponga en las siguientes variables que DMZ host que desea permitir a ciertos
# hosts / servicios en Internet. Por defecto, todos los servicios están autorizados.
#
# TCP / UDP formulario:
# "SRCIP1, ,...> SRCIP2 DESTIP1 ~ \ puerto
# SRCIP3 DESTIP2 ,...> puerto ~ "
#
# IP formulario:
# "SRCIP1, ,...> SRCIP2 DESTIP1 ~ \ protocolo
# SRCIP3 DESTIP2 ,...> sprotocol ~ "
#
# TCP / UDP ejemplos: Simple
# (Deje el puerto 80 en el host INET 1.2.3.4 para todos los hosts DMZ (0 / 0)): DMZ_INET_HOST_OPEN_xxx # = "0 / 0> 1.2.3.4 ~ 80"
# Avanzado (Deje el puerto 20 y 21 en el host INET 1.2.3.4 para todos los hosts DMZ (0 / 0) y
# Permitir el puerto 80 en el host INET 1.2.3.4 de host DMZ 5.6.7.8 (sólo)):DMZ_INET_HOST_OPEN_xxx # = "0 / 0> 1.2.3.4 ~ 20,21 5.6.7.8> 1.2.3.4 ~ 80"
#
# IP protocolo ejemplo:
# (Permitir protocolos 47 y 48 en el host INET 1.2.3.4 para todos los hosts DMZ):
DMZ_INET_HOST_OPEN_IP # = "0 / 0> 1.2.3.4 ~ 47,48"
#
# NOTA 1: Si no se especifica SRCIPx, anfitrión de cualquier fuente se utiliza
# NOTA 2: Si no se especifica DESTIPx, cualquier host de destino se utiliza
# 3 NOTA: Si no se especifica el puerto, un puerto se utiliza
# ------------------------------------------------- ----------------------------
DMZ_INET_HOST_OPEN_TCP = ""
DMZ_INET_HOST_OPEN_UDP = ""
DMZ_INET_HOST_OPEN_IP = ""
# Ponga en las siguientes variables que DMZ host desea denegar a determinados
# hosts / servicios en Internet.
#
# TCP / UDP formulario:
# "SRCIP1, ,...> SRCIP2 DESTIP1 ~ \ puerto
# SRCIP3 DESTIP2 ,...> puerto ~ "
#
# IP formulario:
# "SRCIP1, ,...> SRCIP2 DESTIP1 ~ \ protocolo
# SRCIP3 DESTIP2 ,...> protocolo ~ "
#
# TCP / UDP ejemplos:Simple
# (puerto 80 en el host Denegar INET 1.2.3.4 para todos los hosts DMZ (0 / 0)):DMZ_INET_HOST_DENY_xxx # = "0 / 0> 1.2.3.4 ~ 80"
# Avanzada (puerto Denegar 20 y 21 en el host INET 1.2.3.4 para todos los hosts DMZ (0 / 0) y
# Negar el puerto 80 en el host INET 1.2.3.4 de host DMZ 5.6.7.8 (sólo)):DMZ_INET_HOST_DENY_xxx # = "0 / 0> 1.2.3.4 ~ 20,21 5.6.7.8> 1.2.3.4 ~ 80"
#
# IP protocolo ejemplo:
# (Protocolos Denegar 47 y 48 en el host INET 1.2.3.4 para todos los hosts DMZ (0 / 0)):DMZ_INET_HOST_DENY_IP # = "0 / 0> 1.2.3.4:47,48"
#
# NOTA 1: Si no se especifica SRCIPx, anfitrión de cualquier fuente se utiliza
# NOTA 2: Si no se especifica DESTIPx, cualquier host de destino se utiliza
# 3 NOTA: Si no se especifica el puerto, un puerto se utiliza
# ------------------------------------------------- ----------------------------
DMZ_INET_HOST_DENY_TCP = ""
DMZ_INET_HOST_DENY_UDP = ""
DMZ_INET_HOST_DENY_IP = ""
################################################## #############################
# DMZ_LAN_xxx = DMZ-> LAN normas de acceso (adelante) #
################################################## #############################
# Activa esto para hacer la política por defecto permitir ICMP (ping) para DMZ-> LAN
# ------------------------------------------------- ----------------------------
DMZ_LAN_OPEN_ICMP = 0
# Ponga en las siguientes variables que DMZ host que desea permitir a ciertos
# hosts / servicios de la LAN (red).
#
# TCP / UDP formulario:
# "SRCIP1, ,...> SRCIP2 DESTIP1 ~ puerto \
# SRCIP3 DESTIP2 ,...> puerto ~ "
#
# IP formulario:
# "SRCIP1, ,...> SRCIP2 DESTIP1 ~ \ protocolo
# SRCIP3 DESTIP2 ,...> protocolo ~ "
#
# TCP / UDP ejemplos: Simple
# (Deje el puerto 80 de la LAN de host 1.2.3.4 para todos los hosts DMZ (0 / 0)):DMZ_LAN_HOST_OPEN_xxx # = "0 / 0> 1.2.3.4 ~ 80"
# Avanzado (Deje el puerto 20 y 21 de la LAN de host 1.2.3.4 para todos los hosts DMZ (0 / 0) y
# Permitir el puerto 80 para el host DMZ 5.6.7.8 (sólo) de la LAN de host
# 1.2.3.4):DMZ_LAN_HOST_OPEN_xxx # = "0 / 0> 1.2.3.4 ~ 20,21 5.6.7.8> 1.2.3.4 ~ 80"
#
# IP protocolo ejemplo:
# (Permitir protocolos 47 y 48 de la LAN de host 1.2.3.4 para todos los hosts DMZ (0 / 0)):DMZ_LAN_HOST_OPEN_IP # = "0 / 0> 1.2.3.4 ~ 47,48"
#
# NOTA 1: Si no se especifica SRCIPx, anfitrión de cualquier fuente se utiliza
# NOTA 2: Si no se especifica DESTIPx, cualquier host de destino se utiliza
# 3 NOTA: Si no se especifica el puerto, un puerto se utiliza
# ------------------------------------------------- ----------------------------
DMZ_LAN_HOST_OPEN_TCP = ""
DMZ_LAN_HOST_OPEN_UDP = ""
DMZ_LAN_HOST_OPEN_IP = ""
################################################## #############################
# Firewall de políticas para el exterior (inet) interfaz (la política predeterminada gota =) #
################################################## #############################
# Poner en la siguiente variable que alberga (subredes) que desea tener acceso completo
# A través de su Internet (ext_if) conexión (!). Esto es especialmente dirigido a los
# Redes / servidores que utilizan NIS / NFS, ya que estos protocolos requieren todos los puertos
# De estar abierto.
# NOTA: No confunda esta variable con la que se utiliza para las redes internas.
# ------------------------------------------------- ----------------------------
FULL_ACCESS_HOSTS = ""
# Ponga en la variable después de lo cual los puertos TCP / UDP que no quieren
# Para ver emisiones a partir de (por ejemplo, DHCP (67/68) en su interfaz externa. Tenga en cuenta que
# Para hacer esto correctamente el trabajo también es necesario establecer "EXTERNAL_NET"!
# ------------------------------------------------- ----------------------------
BROADCAST_TCP_NOLOG = ""
# BROADCAST_UDP_NOLOG = "67 68"
# Ponga en las siguientes variables que alberga desea permitir para determinados
# servicios.
# TCP / UDP formato puerto (HOST_OPEN_TCP y HOST_OPEN_UDP):
# "Host1, host2 ~ Port1, port2 host3, host4 ~ port3, port4 ..."
#
# Formato del protocolo IP (HOST_OPEN_IP):
# "Host1, host2 ~ proto1, proto2 host3, host4 ~ proto4, proto4 ..."
#
# Formato del protocolo ICMP (HOST_OPEN_ICMP):
# "Host1 host2 ...."
# ------------------------------------------------- ----------------------------
HOST_OPEN_TCP = ""
HOST_OPEN_UDP = ""
HOST_OPEN_IP = ""
HOST_OPEN_ICMP = ""
# Ponga en las siguientes variables que alberga desea denegar (DROP) en algunas servicios de
# (y se registran).
# Para DENY (DROP) para determinados hosts.
# TCP / UDP formato puerto (HOST_DENY_TCP y HOST_DENY_UDP):
# "Host1, host2 ~ Port1, port2 host3, host4 ~ port3, port4 ..."
#
# Formato del protocolo IP (HOST_DENY_IP):
# "Host1, host2 ~ proto1, proto2 host3, host4 ~ proto4, proto4 ..."
#
# Formato del protocolo ICMP (HOST_DENY_ICMP):
# "Host1 host2 ...."
# ------------------------------------------------- ----------------------------
HOST_DENY_TCP = ""
HOST_DENY_UDP = ""
HOST_DENY_IP = ""
HOST_DENY_ICMP = ""
# Ponga en las siguientes variables que alberga desea denegar (DROP) en algunas servicios
# pero no se registra.
# Formato TCP / UDP (HOST_DENY_xxx_NOLOG):
# "Host1, host2 ~ Port1, port2 host3, host4 ~ port3, port4 ..."
#
# Formato del protocolo IP (HOST_DENY_IP_NOLOG):
# "Host1, host2 ~ proto1, proto2 host3, host4 ~ proto4, proto4 ..."
#
# Formato del protocolo ICMP (HOST_DENY_ICMP_NOLOG):
# "Host1 host2 ...."
# ------------------------------------------------- ----------------------------
HOST_DENY_TCP_NOLOG = ""
HOST_DENY_UDP_NOLOG = ""
HOST_DENY_IP_NOLOG = ""
HOST_DENY_ICMP_NOLOG = ""
# Ponga en las siguientes variables que alberga desea rechazar (en lugar de
# DROP) a determinados puertos TCP / UDP.
# Formato TCP / UDP (HOST_REJECT_xxx):
# "Host1, host2 ~ Port1, port2 host3, host4 ~ port3, port4 ..."
# ------------------------------------------------- ----------------------------
HOST_REJECT_TCP = ""
HOST_REJECT_UDP = ""
# Ponga en las siguientes variables que alberga desea rechazar (en lugar de
# DROP) para ciertos servicios, pero no se registra.
# Formato TCP / UDP (HOST_REJECT_xxx_NOLOG):
# "Host1, host2 ~ Port1, port2 host3, host4 ~ port3, port4 ..."
# ------------------------------------------------- ----------------------------
HOST_REJECT_TCP_NOLOG = ""
HOST_REJECT_UDP_NOLOG = ""
# Ponga en las siguientes variables que los servicios de esta máquina es NO
# Permite conectarse a distancia (mando de punto final) a través de las externas (Internet)interfaz
#. Por ejemplo, para el bloqueo de IRC (tcp 6666:6669).
# ------------------------------------------------- ----------------------------
DENY_TCP_OUTPUT = ""
DENY_UDP_OUTPUT = ""
DENY_IP_OUTPUT = ""
# Ponga en las siguientes variables a las que conduce esta máquina es NO
# Permite conectarse a determinados servicios (mando a distancia de punto final)
# A través de las externas (Internet) de la interfaz. En principio, usted también puede
# Usar esto para poner su máquina en un "virtual-DMZ" al bloquear todo el tráfico
# Para la subred local.
# TCP / UDP formato puerto (HOST_DENY_TCP_OUTPUT y HOST_DENY_UDP_OUTPUT):
# "Host1, host2 ~ Port1, port2 host3, host4 ~ port3, port4 ..."
#
# Formato del protocolo IP (HOST_DENY_IP_OUTPUT):
# "Host1, host2 ~ proto1, proto2 host3, host4 ~ proto4, proto4 ..."
# ------------------------------------------------- ----------------------------
HOST_DENY_TCP_OUTPUT = ""
HOST_DENY_UDP_OUTPUT = ""
HOST_DENY_IP_OUTPUT = ""
# Activa esto para hacer la política por defecto permitir ICMP (ping) para el acceso INET
# ------------------------------------------------- ----------------------------
# Esta configuración es debconf gestionará! No cambies nada aquí a menos que
# SABER LO QUE ESTÁ HACIENDO.
# Usa 'dpkg-reconfigure arno-iptables-firewall "en lugar.
OPEN_ICMP = 1
# Ponga en las siguientes variables de los puertos o protocolos IP que desea dejar
# Abierto a todo el mundo.
# ------------------------------------------------- ----------------------------
# OPEN_TCP OPEN_UDP y son manejados por Debconf. Si desea agregar más abierta TCP
# O UDP utilizan puertos 'dpkg-reconfigure arno-iptables-firewall ". Para obtener más compleja
# Instalación añada ellos (separadas por espacios) después de $ DC_OPEN_ *.
OPEN_TCP = ""
OPEN_UDP = "1194"
OPEN_IP = ""
# Ponga en las siguientes variables los puertos TCP / UDP desea denegar (DROP) para
# todos (y conectado). También utilizan estas variables si desea iniciar sesión de conexión
# intentos a estos puertos de todo el mundo (también de confianza / hosts acceso completo).
# En principio no necesita de estas variables, como todo lo que ya se encuentra bloqueado
# (Negado) de forma predeterminada, pero sólo existe para la coherencia.
# ------------------------------------------------- ----------------------------
DENY_TCP = ""
DENY_UDP = ""
# Ponga en las siguientes variables de los puertos que desea DENY (DROP) para todo el mundo
# pero no se registra. Esto es muy útil si tiene sondas constante en
# El mismo puerto (s) de una y otra vez (gusano Code Red) y no quieres que tus registros
# Inundado con él.
# ------------------------------------------------- ----------------------------
DENY_TCP_NOLOG = ""
DENY_UDP_NOLOG = ""
# Ponga en las siguientes variables los puertos TCP / UDP que desea rechazar (en lugar
# De DROP) para todo el mundo (y se registran).
# ------------------------------------------------- ----------------------------
REJECT_TCP = ""
REJECT_UDP = ""
# Ponga en las siguientes variables los puertos TCP / UDP que desea rechazar (en lugar
# De DROP) para todos, pero no se registra.
# ------------------------------------------------- ----------------------------
REJECT_TCP_NOLOG = ""
REJECT_UDP_NOLOG = ""
# Poner en la siguiente variable que alberga desea bloquear (blackhole,
# Cayendo todos los paquetes desde el host).
# ------------------------------------------------- ----------------------------
BLOCK_HOSTS = ""
#Elimine el comentario # & especifique aquí la ubicación del archivo que contiene una lista de
# hosts (IPS) que deben ser bloqueadas. rangos de IP puede (sólo) se especifica como
# W.x.y.z1-z2 (por ejemplo, 192.168.1.10-15). Tenga en cuenta que la última línea de este archivo
# Siempre debe contener un retorno de carro (enter)!
# ------------------------------------------------- ----------------------------
# BLOCK_HOSTS_FILE = "/ etc / iptables-Arno-firewall / bloqueado-anfitriones"
»
- bitfrost's blog
- Login or register to post comments
- 4188 reads
Comentarios recientes
7 years 47 weeks ago
8 years 18 weeks ago
8 years 19 weeks ago
8 years 19 weeks ago
9 years 34 weeks ago
10 years 41 weeks ago
10 years 41 weeks ago
10 years 42 weeks ago
11 years 38 weeks ago
11 years 45 weeks ago