# IPFW Ruleset 09/11/2003 # Generated by TigerKR ################################################# ## Flush all rules ################################################# flush ################################################# ## Allow loopback ################################################# add allow ip from any to any via lo* ################################################# ## Divert traffic to natd for IP sharing ################################################# add divert natd ip from any to any via en0 ################################################# ## Check dynamic rules / state table ################################################# add check-state ################################################# ## Allow local network traffic ################################################# add allow tcp from any to any via en1 setup keep-state add allow ip from any to any via en1 keep-state ################################################# ## Allow DHCP from ISP ################################################# add allow udp from *ISP DHCP server* 67 to any 68 in recv en0 #add allow udp from any 67 to 255.255.255.255 68 in recv en0 #add allow udp from any 67-68 to any 67-68 in recv en0 ################################################# ## Deny not ISP assigned range in ## Deny not ISP assigned range out ################################################# add deny log logamount 500 ip from any to not *ISP assigned range* in recv en0 add deny log logamount 500 ip from not *ISP assigned range* to any out xmit en0 ################################################# ## Deny spoofing IP ranges in ## Deny spoofing IP range out ################################################# add deny log logamount 500 ip from 224.0.0.0/3 to any in recv en0 add deny log logamount 500 ip from any to 224.0.0.0/3 out xmit en0 add deny log logamount 500 ip from 10.0.0.0/8 to any in recv en0 add deny log logamount 500 ip from any to 10.0.0.0/8 out xmit en0 add deny log logamount 500 ip from 192.168.0.0/16 to any in recv en0 add deny log logamount 500 ip from any to 192.168.0.0/16 out xmit en0 add deny log logamount 500 ip from 172.16.0.0/12 to any in recv en0 add deny log logamount 500 ip from any to 172.16.0.0/12 out xmit en0 add deny log logamount 500 ip from 127.0.0.0/8 to any in recv en0 add deny log logamount 500 ip from any to 127.0.0.0/8 out xmit en0 add deny log logamount 500 ip from 0.0.0.0/8 to any in recv en0 add deny log logamount 500 ip from any to 0.0.0.0/8 out xmit en0 add deny log logamount 500 ip from 169.254.0.0/16 to any in recv en0 add deny log logamount 500 ip from any to 169.254.0.0/16 out xmit en0 add deny log logamount 500 ip from 192.0.2.0/24 to any in recv en0 add deny log logamount 500 ip from any to 192.0.2.0/24 out xmit en0 add deny log logamount 500 ip from 204.152.64.0/23 to any in recv en0 add deny log logamount 500 ip from any to 204.152.64.0/23 out xmit en0 ################################################# ## Unreach host strict and loose source route options ################################################# add unreach host log logamount 500 ip from any to any via en0 ipopt ssrr,lsrr ################################################# ## Allow icmp (echo reply, destination unreachable, source ## quench, echo request, time exceeded, parameter problem) ## Deny all other icmp ################################################# add allow icmp from any to any via en0 icmptype 0,3,4,8,11,12 add deny log logamount 500 icmp from any to any via en0 ################################################# ## Allow everything else outbound ## and create dynamic rule / add to state table ################################################# add allow tcp from any to any out xmit en0 setup keep-state add allow ip from any to any out xmit en0 keep-state ################################################# ## Allow FTP active and passive ################################################# add allow tcp from any to any 20-21 in recv en0 add allow tcp from any 20-21 to any 1024-65535 in recv en0 ################################################# ## Allow SSH ################################################# add allow tcp from any to any 22 in recv en0 ################################################# ## Allow DNS ################################################# add allow tcp from any to any 53 in recv en0 add allow udp from any to any 53 in recv en0 ################################################# ## Reset AUTH ################################################# add reset tcp from any to any 113 in recv en0 ################################################# ## Allow ARD ################################################# add allow udp from any to any 3283 in recv en0 ################################################# ## Allow AIM ################################################# add allow tcp from any to any 5190 in recv en0 add allow udp from any to any 5190 in recv en0 ################################################# ## Deny everything else inbound ################################################# add deny log logamount 500 ip from any to any in recv en0