Ticket #17584: firewall.conf

File firewall.conf, 8.1 KB (added by JoeBar, 3 years ago)

My /etc/config/firewall

Line 
1
2config rule
3        option name 'Allow-DHCP-Renew'
4        option src 'wan'
5        option proto 'udp'
6        option dest_port '68'
7        option target 'ACCEPT'
8        option family 'ipv4'
9
10config rule
11        option name 'Allow-Ping'
12        option src 'wan'
13        option proto 'icmp'
14        option icmp_type 'echo-request'
15        option family 'ipv4'
16        option target 'ACCEPT'
17
18config rule
19        option name 'Allow-DHCPv6'
20        option src 'wan'
21        option proto 'udp'
22        option src_ip 'fe80::/10'
23        option src_port '547'
24        option dest_ip 'fe80::/10'
25        option dest_port '546'
26        option family 'ipv6'
27        option target 'ACCEPT'
28        option enabled '0'
29
30config rule
31        option name 'Allow-ICMPv6-Input'
32        option src 'wan'
33        option proto 'icmp'
34        list icmp_type 'echo-request'
35        list icmp_type 'echo-reply'
36        list icmp_type 'destination-unreachable'
37        list icmp_type 'packet-too-big'
38        list icmp_type 'time-exceeded'
39        list icmp_type 'bad-header'
40        list icmp_type 'unknown-header-type'
41        list icmp_type 'router-solicitation'
42        list icmp_type 'neighbour-solicitation'
43        list icmp_type 'router-advertisement'
44        list icmp_type 'neighbour-advertisement'
45        option limit '1000/sec'
46        option family 'ipv6'
47        option target 'ACCEPT'
48
49config rule
50        option name 'Allow-ICMPv6-Forward'
51        option src 'wan'
52        option dest '*'
53        option proto 'icmp'
54        list icmp_type 'echo-request'
55        list icmp_type 'echo-reply'
56        list icmp_type 'destination-unreachable'
57        list icmp_type 'packet-too-big'
58        list icmp_type 'time-exceeded'
59        list icmp_type 'bad-header'
60        list icmp_type 'unknown-header-type'
61        option limit '1000/sec'
62        option family 'ipv6'
63        option target 'ACCEPT'
64
65config rule
66        option target 'ACCEPT'
67        option src 'wan'
68        option proto 'udp'
69        option dest_port '1194'
70        option name 'Allow-OpenVPN-vpn1'
71
72config rule
73        option target 'ACCEPT'
74        option src 'wan'
75        option proto 'udp'
76        option dest_port '1195'
77        option name 'Allow-OpenVPN-vpn2'
78
79config rule
80        option target 'ACCEPT'
81        option src 'wan'
82        option proto 'tcp udp'
83        option dest_port '1196'
84        option name 'Allow-OpenVPN-vpn3'
85
86config rule
87        option target 'ACCEPT'
88        option src 'wan'
89        option dest 'lan'
90        option name 'Allow-HTTP-IPv6'
91        option family 'ipv6'
92        option proto 'tcp'
93        option dest_ip '<Server1IPv6>'
94        option dest_port '80'
95
96config rule
97        option target 'ACCEPT'
98        option src 'wan'
99        option dest 'lan'
100        option name 'Allow-HTTPS-IPv6'
101        option family 'ipv6'
102        option proto 'tcp'
103        option dest_ip '<Server1IPv6>'
104        option dest_port '443'
105
106config defaults
107        option syn_flood '1'
108        option input 'ACCEPT'
109        option output 'ACCEPT'
110        option forward 'REJECT'
111        option drop_invalid '1'
112
113config zone
114        option name 'lan'
115        option input 'ACCEPT'
116        option output 'ACCEPT'
117        option forward 'ACCEPT'
118        option network 'lan'
119
120config zone
121        option name 'wan'
122        option input 'REJECT'
123        option output 'ACCEPT'
124        option forward 'REJECT'
125        option masq '1'
126        option mtu_fix '1'
127        option network 'wan wan6'
128
129config include
130        option path '/etc/firewall.user'
131
132config zone
133        option name 'vpn1'
134        option input 'ACCEPT'
135        option forward 'REJECT'
136        option output 'ACCEPT'
137        option network 'vpn1'
138
139config zone
140        option name 'vpn2'
141        option input 'ACCEPT'
142        option forward 'REJECT'
143        option output 'ACCEPT'
144        option network 'vpn2'
145
146config zone
147        option name 'vpn3'
148        option input 'ACCEPT'
149        option forward 'REJECT'
150        option output 'ACCEPT'
151        option network 'vpn3'
152
153config zone
154        option name 'vpn4'
155        option input 'ACCEPT'
156        option forward 'REJECT'
157        option output 'ACCEPT'
158        option network 'vpn4'
159
160config zone
161        option name 'wlan'
162        option input 'ACCEPT'
163        option forward 'REJECT'
164        option output 'ACCEPT'
165        option network 'wlan'
166
167config zone
168        option name 'dmz1'
169        option input 'ACCEPT'
170        option forward 'REJECT'
171        option output 'ACCEPT'
172        option network 'dmz1'
173
174config forwarding
175        option dest 'vpn1'
176        option src 'lan'
177
178config forwarding
179        option dest 'dmz1'
180        option src 'lan'
181
182config forwarding
183        option dest 'vpn4'
184        option src 'lan'
185
186config forwarding
187        option dest 'vpn3'
188        option src 'lan'
189
190config forwarding
191        option dest 'lan'
192        option src 'vpn3'
193
194config forwarding
195        option dest 'lan'
196        option src 'wlan'
197
198config forwarding
199        option dest 'vpn1'
200        option src 'wlan'
201
202config forwarding
203        option dest 'dmz1'
204        option src 'wlan'
205
206config forwarding
207        option dest 'vpn4'
208        option src 'wlan'
209
210config forwarding
211        option dest 'vpn3'
212        option src 'wlan'
213
214config forwarding
215        option dest 'wlan'
216        option src 'lan'
217
218config forwarding
219        option dest 'wlan'
220        option src 'vpn3'
221
222config forwarding
223        option dest 'lan'
224        option src 'vpn1'
225
226config forwarding
227        option dest 'dmz1'
228        option src 'vpn1'
229
230config forwarding
231        option dest 'vpn4'
232        option src 'vpn1'
233
234config forwarding
235        option dest 'vpn3'
236        option src 'vpn1'
237
238config forwarding
239        option dest 'wlan'
240        option src 'vpn1'
241
242config forwarding
243        option dest 'lan'
244        option src 'vpn2'
245
246config forwarding
247        option dest 'dmz1'
248        option src 'vpn2'
249
250config forwarding
251        option dest 'wlan'
252        option src 'vpn2'
253
254config forwarding
255        option dest 'vpn2'
256        option src 'lan'
257
258config forwarding
259        option dest 'vpn2'
260        option src 'vpn1'
261
262config forwarding
263        option dest 'vpn2'
264        option src 'dmz1'
265
266config forwarding
267        option dest 'vpn2'
268        option src 'wlan'
269
270config forwarding
271        option dest 'wan'
272        option src 'lan'
273
274config forwarding
275        option dest 'wan'
276        option src 'vpn1'
277
278config forwarding
279        option dest 'wan'
280        option src 'dmz1'
281
282config forwarding
283        option dest 'wan'
284        option src 'vpn2'
285
286config forwarding
287        option dest 'wan'
288        option src 'vpn3'
289
290config forwarding
291        option dest 'wan'
292        option src 'wlan'
293
294config redirect
295        option target 'SNAT'
296        option src 'lan'
297        option dest 'wan'
298        option proto 'all'
299        option src_dip '<RouterWANIPv4>'
300        option name 'LAN-to-EXTRouter'
301        option dest_ip '<ExtRouterIPv4>'
302
303config redirect
304        option target 'SNAT'
305        option src 'wlan'
306        option dest 'wan'
307        option proto 'all'
308        option src_dip '<RouterWANIPv4>'
309        option name 'WLAN-to-EXTRouter'
310        option dest_ip '<ExtRouterIPv4>'
311
312config redirect
313        option target 'SNAT'
314        option src 'vpn1'
315        option dest 'wan'
316        option proto 'all'
317        option src_dip '<RouterWANIPv4>'
318        option name 'VPN1-to-EXTRouter'
319        option dest_ip '<ExtRouterIPv4>'
320
321config redirect
322        option target 'SNAT'
323        option src 'vpn2'
324        option dest 'wan'
325        option proto 'all'
326        option src_dip '<RouterWANIPv4>'
327        option name 'VPN2-to-EXTRouter'
328        option dest_ip '<ExtRouterIPv4>'
329
330config redirect
331        option target 'SNAT'
332        option src 'vpn3'
333        option dest 'wan'
334        option proto 'all'
335        option src_dip '<RouterWANIPv4>'
336        option name 'VPN3-to-EXTRouter'
337        option dest_ip '<ExtRouterIPv4>'
338
339config redirect
340        option target 'DNAT'
341        option src 'wan'
342        option dest 'lan'
343        option proto 'tcp'
344        option src_dport '22'
345        option dest_ip '<Server1IPv4>'
346        option dest_port '22'
347        option name 'SSH'
348        option src_dip '<RouterWANIPv4>'
349        option enabled '0'
350
351config redirect
352        option target 'DNAT'
353        option src 'wan'
354        option dest 'lan'
355        option proto 'tcp'
356        option src_dport '80'
357        option dest_ip '<Server1IPv4>'
358        option dest_port '80'
359        option name 'HTTP'
360        option src_dip '<RouterWANIPv4>'
361        option enabled '0'
362
363config redirect
364        option target 'DNAT'
365        option src 'wan'
366        option dest 'lan'
367        option proto 'tcp'
368        option src_dport '443'
369        option dest_ip '<Server1IPv4>'
370        option dest_port '443'
371        option name 'HTTPS'
372        option src_dip '<RouterWANIPv4>'
373        option enabled '0'
374
375config redirect
376        option target 'DNAT'
377        option src 'wan'
378        option dest 'lan'
379        option proto 'tcp'
380        option src_dport '993'
381        option dest_ip '<Server1IPv4>'
382        option dest_port '993'
383        option name 'IMAPS'
384        option src_dip '<RouterWANIPv4>'
385        option enabled '0'
386
387config redirect
388        option target 'DNAT'
389        option src 'wan'
390        option dest 'lan'
391        option proto 'tcp'
392        option src_dport '25'
393        option dest_ip '<Server1IPv4>'
394        option dest_port '25'
395        option name 'EXTRouter-Mail'
396        list src_mac '<EXTRouterMAC>'
397        option src_ip '<ExtRouterIPv4>'
398        option src_dip '<RouterWANIPv4>'
399        option enabled '0'
400
401config redirect
402        option target 'DNAT'
403        option dest 'lan'
404        option proto 'tcp udp'
405        option dest_ip '<Server1IPv4>'
406        option name 'LAN-to-ext-IP'
407        option src 'lan'
408        option src_dip '<RouterWANIPv4>'
409        option enabled '0'
410
411config redirect
412        option target 'DNAT'
413        option dest 'lan'
414        option proto 'tcp udp'
415        option dest_ip '<Server1IPv4>'
416        option name 'WLAN-to-ext-IP'
417        option src 'wlan'
418        option src_dip '<RouterWANIPv4>'
419        option enabled '0'
420
421config redirect
422        option target 'DNAT'
423        option dest 'lan'
424        option proto 'tcp udp'
425        option dest_ip '<Server1IPv4>'
426        option name 'VPN1-to-ext-IP'
427        option src 'vpn1'
428        option src_dip '<RouterWANIPv4>'
429        option enabled '0'
430