Firewall: better loopback badtcp skipping.
authorArne Fitzenreiter <arne_f@ipfire.org>
Thu, 30 Dec 2010 15:28:19 +0000 (16:28 +0100)
committerArne Fitzenreiter <arne_f@ipfire.org>
Thu, 30 Dec 2010 15:28:19 +0000 (16:28 +0100)
src/initscripts/init.d/fireinfo [changed mode: 0755->0644]
src/initscripts/init.d/firewall

old mode 100755 (executable)
new mode 100644 (file)
index 9a4e5eb..f1330f0 100644 (file)
@@ -53,6 +53,9 @@ iptables_init() {
        # Chain to contain all the rules relating to bad TCP flags
        /sbin/iptables -N BADTCP
 
+       #Don't check loopback
+       /sbin/iptables -A INPUT   -i lo -j RETURN
+
        # Disallow packets frequently used by port-scanners
        # nmap xmas
        /sbin/iptables -A BADTCP -p tcp --tcp-flags ALL FIN,URG,PSH  -j PSCAN
@@ -188,7 +191,7 @@ case "$1" in
        /sbin/iptables -A FORWARD -j OUTGOINGFW
 
        # localhost and ethernet.
-       /sbin/iptables -I INPUT 1 -i lo -m state --state NEW -j ACCEPT
+       /sbin/iptables -A INPUT   -i lo -m state --state NEW -j ACCEPT
        /sbin/iptables -A INPUT   -s 127.0.0.0/8 -m state --state NEW -j DROP   # Loopback not on lo
        /sbin/iptables -A INPUT   -d 127.0.0.0/8 -m state --state NEW -j DROP
        /sbin/iptables -A FORWARD -i lo -m state --state NEW -j ACCEPT