# ipfw configuration file # # Usage: ipfw -q /etc/ipfw.conf # # Thanks to Mike Rose (mike@michaelrose.org) who provided # the tutorial on setting up this file ############################################################ # Clear The Rulebase ############################################################ flush ############################################################ # Drop some things that are always forbidden. # - Allow all loopback traffic on lo0, but drop it otherwise. # - Drop source-routed packets. ############################################################ add allow ip from any to any via lo0 add drop ip from any to 127.0.0.0/8 add drop ip from 127.0.0.0/8 to any add drop log all from any to any ipoptions ssrr,lsrr ############################################################ # ESSENTIAL TRAFFIC # - Anything in the state table. # - dhcp ############################################################ add check-state add allow udp from any 67-68 to any 67-68 ############################################################ # DNS - outbound only ############################################################ add allow udp from any to any 53 out keep-state ############################################################ # ICMP: Allow Ping - outbound ############################################################ add allow icmp from any to any out icmptype 0,8 keep-state ############################################################ # NTP - outbound only ############################################################ add allow udp from any to any ntp out keep-state ############################################################ # TCP Services - Outbound # Fermilab policy - no inbound, non-kerberized ssh ############################################################ add allow tcp from any to any ssh out keep-state ############################################################ # TCP Services - Outbound Only ############################################################ add allow tcp from any to any http out setup keep-state add allow tcp from any to any https out setup keep-state add allow tcp from any to any smtp out setup keep-state add allow tcp from any to any imap out setup keep-state add allow tcp from any to any 53 out setup keep-state # Quarknet servers run on 8000 ports. Others should take this out. add allow tcp from any to any 8000-8099 out setup keep-state add allow tcp from any to any 8445,8446 out setup keep-state # 5050 = AIM port, 5190 = Yahoo Messenger port add allow tcp from any to any 5050,5190 out setup keep-state # VNC sessions. Take out if not useful. add allow tcp from any to any 5900 out setup keep-state add allow udp from any to any 5900 out keep-state ############################################################ # Drop All ############################################################ add drop log all from any to any