1 # DO NOT EDIT - This file is being maintained by Chef
3 ###############################################################################
4 # S T A R T U P E N A B L E D
5 ###############################################################################
9 ###############################################################################
11 ###############################################################################
15 ###############################################################################
17 ###############################################################################
21 ###############################################################################
23 ###############################################################################
27 ###############################################################################
29 ###############################################################################
45 LOGFILE=/var/log/messages
53 MACLIST_LOG_LEVEL="$LOG_LEVEL"
57 RPFILTER_LOG_LEVEL="$LOG_LEVEL"
59 SFILTER_LOG_LEVEL="$LOG_LEVEL"
61 SMURF_LOG_LEVEL="$LOG_LEVEL"
63 STARTUP_LOG=/var/log/shorewall-init.log
65 TCP_FLAGS_LOG_LEVEL="$LOG_LEVEL"
69 ###############################################################################
70 # L O C A T I O N O F F I L E S A N D D I R E C T O R I E S
71 ###############################################################################
75 CONFIG_PATH=":${CONFDIR}/shorewall:${SHAREDIR}/shorewall"
77 GEOIPDIR=/usr/share/xt_geoip/LE
91 PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin:/usr/local/sbin
97 SHOREWALL_SHELL=/bin/sh
103 ###############################################################################
104 # D E F A U L T A C T I O N S / M A C R O S
105 ###############################################################################
107 <%- if node[:lsb][:release].to_f <= 16.04 %>
108 ACCEPT_DEFAULT="none"
110 NFQUEUE_DEFAULT="none"
112 REJECT_DEFAULT="Reject"
114 ACCEPT_DEFAULT="none"
115 BLACKLIST_DEFAULT="Broadcast(DROP),Multicast(DROP),dropNotSyn:$LOG_LEVEL,dropInvalid:$LOG_LEVEL,DropDNSrep:$LOG_LEVEL"
116 DROP_DEFAULT="Broadcast(DROP),Multicast(DROP)"
117 NFQUEUE_DEFAULT="none"
119 REJECT_DEFAULT="Broadcast(DROP),Multicast(DROP)"
122 ###############################################################################
123 # R S H / R C P C O M M A N D S
124 ###############################################################################
126 RCP_COMMAND='scp ${files} ${root}@${system}:${destination}'
127 RSH_COMMAND='ssh ${root}@${system} ${command}'
129 ###############################################################################
130 # F I R E W A L L O P T I O N S
131 ###############################################################################
135 ACCOUNTING_TABLE=filter
141 ADMINISABSENTMINDED=Yes
147 <%- if node[:lsb][:release].to_f <= 16.04 %>
157 BLACKLIST="NEW,INVALID,UNTRACKED"
165 DEFER_DNS_RESOLUTION=Yes
169 DETECT_DNAT_IPADDRS=No
177 DYNAMIC_BLACKLIST=Yes
189 IGNOREUNKNOWNVARIABLES=No
201 LOAD_HELPERS_ONLY=Yes
211 MARK_IN_FORWARD_CHAIN=No
214 <%- if node[:lsb][:release].to_f <= 16.04 %>
223 NULL_ROUTE_RFC1918=No
225 <%- if node[:lsb][:release].to_f <= 14.04 %>
231 OPTIMIZE_ACCOUNTING=No
241 RESTORE_DEFAULT_ROUTE=Yes
243 RESTORE_ROUTEMARKS=Yes
257 TC_PRIOMAP="2 3 3 3 2 3 1 1 2 2 2 2 2 2 2 2"
264 <%- if node[:lsb][:release].to_f >= 18.04 %>
269 USE_PHYSICAL_NAMES=No
275 WARNOLDCAPVERSION=Yes
283 ###############################################################################
284 # P A C K E T D I S P O S I T I O N
285 ###############################################################################
287 BLACKLIST_DISPOSITION=DROP
289 INVALID_DISPOSITION=CONTINUE
291 MACLIST_DISPOSITION=REJECT
293 RELATED_DISPOSITION=ACCEPT
295 RPFILTER_DISPOSITION=DROP
297 SMURF_DISPOSITION=DROP
299 SFILTER_DISPOSITION=DROP
301 TCP_FLAGS_DISPOSITION=DROP
303 UNTRACKED_DISPOSITION=CONTINUE
305 ################################################################################
306 # P A C K E T M A R K L A Y O U T
307 ################################################################################