examples/webserver.ferm

   1 # -*- shell-script -*-
   2 #
   3 # Ferm example script
   4 #
   5 # Firewall configuration for a web and SMTP server.
   6 #
   7 # Author: Max Kellermann <max@duempel.org>
   8 #
   9
  10 @def $NET_TRUSTED = 195.135.144.144/28;
  11
  12 table filter {
  13     chain INPUT {
  14         policy DROP;
  15
  16         # connection tracking
  17         mod state state INVALID DROP;
  18         mod state state (ESTABLISHED RELATED) ACCEPT;
  19
  20         # allow local connections
  21         interface lo ACCEPT;
  22
  23         # respond to ping
  24         proto icmp icmp-type echo-request ACCEPT;
  25
  26         # remote administration from the company network
  27         saddr $NET_TRUSTED proto tcp dport ssh ACCEPT;
  28
  29         # our services to the world
  30         proto tcp dport (http https smtp) ACCEPT;
  31
  32         # the rest is dropped by the above policy
  33     }
  34
  35     # outgoing connections are not limited
  36     chain OUTPUT policy ACCEPT;
  37
  38     # this is not a router
  39     chain FORWARD policy DROP;
  40 }