examples/mailserver.ferm

   1 # -*- shell-script -*-
   2 #
   3 # Ferm example script
   4 #
   5 # Firewall configuration for a dedicated mail server.
   6 #
   7 # Author: Max Kellermann <max@duempel.org>
   8 #
   9
  10 @def $NET_TRUSTED = 195.135.144.144/28;
  11
  12 table filter {
  13     chain INPUT {
  14         policy DROP;
  15
  16         # connection tracking
  17         mod state state INVALID DROP;
  18         mod state state (ESTABLISHED RELATED) ACCEPT;
  19
  20         # allow local connections
  21         interface lo ACCEPT;
  22
  23         # respond to ping
  24         proto icmp icmp-type echo-request ACCEPT;
  25
  26         # remote administration from the company network
  27         saddr $NET_TRUSTED proto tcp dport ssh ACCEPT;
  28
  29         # our services to the world
  30         proto tcp dport (smtp ssmtp qmtp pop3 pop3s imap2 imap3 imaps) ACCEPT;
  31
  32         # some SMTP servers use ident
  33         proto tcp dport auth REJECT;
  34
  35         # the rest is dropped by the above policy
  36     }
  37
  38     # outgoing connections are not limited
  39     chain OUTPUT policy ACCEPT;
  40
  41     # this is not a router
  42     chain FORWARD policy DROP;
  43 }