Re: [FUG-BR] PF - Ajuda
valew, raca. Att, Pedro de Almeida - Original Message - From: "irado furioso com tudo" To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, May 18, 2010 9:44 AM Subject: Re: [FUG-BR] PF - Ajuda Em Tue, 18 May 2010 09:19:19 -0300 "pedro" , conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: > SERA QUE ALGUEM CONSEGUE ME INFORMAR não precisa gritar :( tudo o que vc precisa está aqui: http://www.ataliba.eti.br/files/txts/freebsd-pf.pdf divirta-se. flames > /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free "Todo tecnocrata tem que saber fazer muito bem as quatro operações: ambição, puxação, toma e explicação."[Millôr Fernande] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
Em Tue, 18 May 2010 09:19:19 -0300 "pedro" , conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: > SERA QUE ALGUEM CONSEGUE ME INFORMAR não precisa gritar :( tudo o que vc precisa está aqui: http://www.ataliba.eti.br/files/txts/freebsd-pf.pdf divirta-se. flames > /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free "Todo tecnocrata tem que saber fazer muito bem as quatro operações: ambição, puxação, toma e explicação."[Millôr Fernande] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
nslink# ipfw list 00051 allow ip from any to any iptos mincost 00191 deny tcp from any to any dst-port 445 via vr0 01500 deny ip from 192.168.0.164 to any dst-port 25 via vr0 01501 deny ip from 192.168.0.154 to any dst-port 25 via rl0 01502 deny tcp from any to any dst-port 137 via vr0 01503 deny tcp from any to any dst-port 138 via vr0 01933 deny tcp from any to any dst-port 139 via vr0 01934 deny tcp from any to any dst-port 445 via rl1 01935 deny tcp from any to any dst-port 445 via vr0 05000 prob 0.60 deny tcp from not 192.168.0.200 to not 20.0.0.0/24,200.0.0.0 /8,201.0.0.0/8 dst-port 1863 15012 deny udp from any to any dst-port 137 via vr0 15013 deny udp from any to any dst-port 138 via vr0 19313 deny udp from any to any dst-port 139 via vr0 19315 deny udp from any to any dst-port 445 via vr0 64000 fwd 127.0.0.1,3128 tcp from any to any dst-port 80 via re0 setup keep-stat e 65535 allow ip from any to any nslink# pfctl -sr scrub in all fragment reassemble pass out on rl0 inet from any to 192.168.0.0/24 flags S/SA keep state pass in quick on rl0 inet from 192.168.0.0/24 to 192.168.0.2 flags S/SA keep state pass in quick on rl0 inet from 192.168.0.0/24 to 10.1.10.2 flags S/SA keep state pass in on vr0 proto tcp all flags S/SA modulate state pass in on vr0 proto udp all keep state pass in on vr0 proto icmp all keep state Em 18 de maio de 2010 09:31, Henrique Vinicius escreveu: > Se for regras ipfw ipfw list > > Em 18 de maio de 2010 09:19, pedro escreveu: > >> SERA QUE ALGUEM CONSEGUE ME INFORMAR SE ESSES COMANDOS ABAIXO SSERVEM PARA >> VERIFICAR AS REGRAS QUE EU TENHO EM UM FIREWALL FreeBsd 7. >> >> >> Att, >> Pedro de Almeida >> >> >> - Original Message - >> From: "Welkson Renny de Medeiros" >> To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" >> >> Sent: Friday, May 14, 2010 10:11 AM >> Subject: Re: [FUG-BR] PF - Ajuda >> >> >> pedro escreveu: >> > Segue Anexo arquivo firewall. >> > >> > Estou com um problema aqui na empresa com uma maquina freebsd 7 que >> parou, >> > ela era o firewall da empresa e dhcp, agora estamos sem, eu estou >> > precisando das regras que essa maquina tinha no firewall e depois de >> > alguma pesquisa consegui algo com: >> > # pfctl -sn Mostra as regras atuais de NAT >> > # pfctl -sr Mostra as regras atuais de filtragem >> > Nao consegui localizar o script de firewall, acho que quem configurou >> > mudou os padroes, como eu poderia localizar ?Sera que com esses comandos >> > eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que >> > foi apresentado,alguma coisa intendi. >> > >> > >> > - >> > Histórico: http://www.fug.com.br/historico/html/freebsd/ >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > >> >> Pedro, >> >> Veja no /etc/rc.conf... o NORMAL é ser carregado por lá. >> >> Veja depois o /etc/rc.local >> >> E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d >> >> Tem que está em algum desses lugares... eu acredito que esteja no >> PRIMEIRO (rc.conf) >> >> Abraço, >> >> -- >> Welkson Renny de Medeiros >> Desenvolvimento / Gerência de Redes >> Focus Automação Comercial >> FreeBSD Community Member >> >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
Se for regras ipfw ipfw list Em 18 de maio de 2010 09:19, pedro escreveu: > SERA QUE ALGUEM CONSEGUE ME INFORMAR SE ESSES COMANDOS ABAIXO SSERVEM PARA > VERIFICAR AS REGRAS QUE EU TENHO EM UM FIREWALL FreeBsd 7. > > > Att, > Pedro de Almeida > > > - Original Message - > From: "Welkson Renny de Medeiros" > To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" > > Sent: Friday, May 14, 2010 10:11 AM > Subject: Re: [FUG-BR] PF - Ajuda > > > pedro escreveu: > > Segue Anexo arquivo firewall. > > > > Estou com um problema aqui na empresa com uma maquina freebsd 7 que > parou, > > ela era o firewall da empresa e dhcp, agora estamos sem, eu estou > > precisando das regras que essa maquina tinha no firewall e depois de > > alguma pesquisa consegui algo com: > > # pfctl -sn Mostra as regras atuais de NAT > > # pfctl -sr Mostra as regras atuais de filtragem > > Nao consegui localizar o script de firewall, acho que quem configurou > > mudou os padroes, como eu poderia localizar ?Sera que com esses comandos > > eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que > > foi apresentado,alguma coisa intendi. > > > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > Pedro, > > Veja no /etc/rc.conf... o NORMAL é ser carregado por lá. > > Veja depois o /etc/rc.local > > E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d > > Tem que está em algum desses lugares... eu acredito que esteja no > PRIMEIRO (rc.conf) > > Abraço, > > -- > Welkson Renny de Medeiros > Desenvolvimento / Gerência de Redes > Focus Automação Comercial > FreeBSD Community Member > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
SERA QUE ALGUEM CONSEGUE ME INFORMAR SE ESSES COMANDOS ABAIXO SSERVEM PARA VERIFICAR AS REGRAS QUE EU TENHO EM UM FIREWALL FreeBsd 7. Att, Pedro de Almeida - Original Message - From: "Welkson Renny de Medeiros" To: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" Sent: Friday, May 14, 2010 10:11 AM Subject: Re: [FUG-BR] PF - Ajuda pedro escreveu: > Segue Anexo arquivo firewall. > > Estou com um problema aqui na empresa com uma maquina freebsd 7 que parou, > ela era o firewall da empresa e dhcp, agora estamos sem, eu estou > precisando das regras que essa maquina tinha no firewall e depois de > alguma pesquisa consegui algo com: > # pfctl -sn Mostra as regras atuais de NAT > # pfctl -sr Mostra as regras atuais de filtragem > Nao consegui localizar o script de firewall, acho que quem configurou > mudou os padroes, como eu poderia localizar ?Sera que com esses comandos > eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que > foi apresentado,alguma coisa intendi. > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Pedro, Veja no /etc/rc.conf... o NORMAL é ser carregado por lá. Veja depois o /etc/rc.local E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d Tem que está em algum desses lugares... eu acredito que esteja no PRIMEIRO (rc.conf) Abraço, -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
Em Fri, 14 May 2010 11:41:56 -0300 "pedro" , conhecido consumidor/usuário de drogas (Windows e BigMac com Coke) escreveu: > Segue saida do comando. o rc.conf do freebsd fica > em /etc/defaults/rc.conf . engano.. o rc.conf do freebsd fica mesmo em /etc. O que vc referiu é o arquivo padrão, que NÃO deve sofrer alterações. revise: grep -i pf /etc/rc.conf e NÃO o outro. As regras PROVAVELMENTE encontram-se em pf.conf; se não estiverem, vai ter que revisar os vários arquivos que estão sob /etc/ pra facilitar sugiro procurar por palavras chave: grep -i scrub (ou "anchor" ou "drop" ou qualquer outra) /etc/* -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free A filosofia é composta de respostas incompreensíveis para questões insolúveis. Henry B. Adams, historiador americano - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
Segue saida do comando. o rc.conf do freebsd fica em /etc/defaults/rc.conf . Os arquivos presentes na saida, nao consegui encontrar. Como sera que foi implementado. Att, Pedro de Almeida # find / -name pf.conf # cat rc.conf | grep pf swapfile="NO" # Set to name of swapfile if aux swapfile desired. firewall_flags="" # Flags passed to ipfw when type is a file ipfilter_enable="NO"# Set to YES to enable ipfilter functionality ipfilter_program="/sbin/ipf"# where the ipfilter program lives ipfilter_rules="/etc/ipf.rules" # rules definition file for ipfilter, see # /usr/src/contrib/ipfilter/rules for examples ipfilter_flags="" # additional flags for ipfilter ipmon_enable="NO" # Set to YES for ipmon; needs ipfilter or ipnat ipmon_program="/sbin/ipmon" # where the ipfilter monitor program lives ipmon_flags="-Ds" # typically "-Ds" or "-D /var/log/ipflog" ipfs_enable="NO"# Set to YES to enable saving and restoring ipfs_program="/sbin/ipfs" # where the ipfs program lives ipfs_flags="" # additional flags for ipfs pf_enable="NO" # Set to YES to enable packet filter (pf) pf_rules="/etc/pf.conf" # rules definition file for pf pf_program="/sbin/pfctl"# where the pfctl program lives pf_flags="" # additional flags for pfctl pflog_enable="NO" # Set to YES to enable packet filter logging pflog_logfile="/var/log/pflog" # where pflogd should store the logfile pflog_program="/sbin/pflogd"# where the pflogd program lives pflog_flags="" # additional flags for pflogd ftpproxy_enable="NO"# Set to YES to enable ftp-proxy(8) for pf pfsync_enable="NO" # Expose pf state to other hosts for syncing pfsync_syncdev="" # Interface for pfsync to work through pfsync_syncpeer="" # IP address of pfsync peer host pfsync_ifconfig="" # Additional options to ifconfig(8) for pfsync ipv6_ipfilter_rules="/etc/ipf6.rules" # rules definition file for ipfilter, # see /usr/src/contrib/ipfilter/rules - Original Message - From: "Alessandro de Souza Rocha" To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Friday, May 14, 2010 11:11 AM Subject: Re: [FUG-BR] PF - Ajuda nslink# cat /etc/rc.conf | grep pf pf_enable="YES" pf_rules="/etc/pf.conf" Em 14 de maio de 2010 10:11, Welkson Renny de Medeiros escreveu: > pedro escreveu: >> Segue Anexo arquivo firewall. >> >> Estou com um problema aqui na empresa com uma maquina freebsd 7 que >> parou, ela era o firewall da empresa e dhcp, agora estamos sem, eu estou >> precisando das regras que essa maquina tinha no firewall e depois de >> alguma pesquisa consegui algo com: >> # pfctl -sn Mostra as regras atuais de NAT >> # pfctl -sr Mostra as regras atuais de filtragem >> Nao consegui localizar o script de firewall, acho que quem configurou >> mudou os padroes, como eu poderia localizar ?Sera que com esses comandos >> eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que >> foi apresentado,alguma coisa intendi. >> >> >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > Pedro, > > Veja no /etc/rc.conf... o NORMAL é ser carregado por lá. > > Veja depois o /etc/rc.local > > E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d > > Tem que está em algum desses lugares... eu acredito que esteja no > PRIMEIRO (rc.conf) > > Abraço, > > -- > Welkson Renny de Medeiros > Desenvolvimento / Gerência de Redes > Focus Automação Comercial > FreeBSD Community Member > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
nslink# cat /etc/rc.conf | grep pf pf_enable="YES" pf_rules="/etc/pf.conf" Em 14 de maio de 2010 10:11, Welkson Renny de Medeiros escreveu: > pedro escreveu: >> Segue Anexo arquivo firewall. >> >> Estou com um problema aqui na empresa com uma maquina freebsd 7 que parou, >> ela era o firewall da empresa e dhcp, agora estamos sem, eu estou precisando >> das regras que essa maquina tinha no firewall e depois de alguma pesquisa >> consegui algo com: >> # pfctl -sn Mostra as regras atuais de NAT >> # pfctl -sr Mostra as regras atuais de filtragem >> Nao consegui localizar o script de firewall, acho que quem configurou mudou >> os padroes, como eu poderia localizar ?Sera que com esses comandos eu obtive >> tudo que precisava? Alguem poderia me ajudar a traduzir o que foi >> apresentado,alguma coisa intendi. >> >> >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > Pedro, > > Veja no /etc/rc.conf... o NORMAL é ser carregado por lá. > > Veja depois o /etc/rc.local > > E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d > > Tem que está em algum desses lugares... eu acredito que esteja no > PRIMEIRO (rc.conf) > > Abraço, > > -- > Welkson Renny de Medeiros > Desenvolvimento / Gerência de Redes > Focus Automação Comercial > FreeBSD Community Member > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Alessandro de Souza Rocha Administrador de Redes e Sistemas FreeBSD-BR User #117 Long live FreeBSD Powered by (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
pedro escreveu: > Segue Anexo arquivo firewall. > > Estou com um problema aqui na empresa com uma maquina freebsd 7 que parou, > ela era o firewall da empresa e dhcp, agora estamos sem, eu estou precisando > das regras que essa maquina tinha no firewall e depois de alguma pesquisa > consegui algo com: > # pfctl -sn Mostra as regras atuais de NAT > # pfctl -sr Mostra as regras atuais de filtragem > Nao consegui localizar o script de firewall, acho que quem configurou mudou > os padroes, como eu poderia localizar ?Sera que com esses comandos eu obtive > tudo que precisava? Alguem poderia me ajudar a traduzir o que foi > apresentado,alguma coisa intendi. > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Pedro, Veja no /etc/rc.conf... o NORMAL é ser carregado por lá. Veja depois o /etc/rc.local E verifica os scripts no /etc/rc.d e /usr/local/etc/rc.d Tem que está em algum desses lugares... eu acredito que esteja no PRIMEIRO (rc.conf) Abraço, -- Welkson Renny de Medeiros Desenvolvimento / Gerência de Redes Focus Automação Comercial FreeBSD Community Member - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF - Ajuda
Segue Anexo arquivo firewall. Estou com um problema aqui na empresa com uma maquina freebsd 7 que parou, ela era o firewall da empresa e dhcp, agora estamos sem, eu estou precisando das regras que essa maquina tinha no firewall e depois de alguma pesquisa consegui algo com: # pfctl -sn Mostra as regras atuais de NAT # pfctl -sr Mostra as regras atuais de filtragem Nao consegui localizar o script de firewall, acho que quem configurou mudou os padroes, como eu poderia localizar ?Sera que com esses comandos eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que foi apresentado,alguma coisa intendi. pf.rtf Description: Binary data - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF - Ajuda
Amigo.. envie novamente.. sem formatação das suas regras .. assim ficou complicado ver.. -- Gustavo Freitas - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF - Ajuda
Estou com um problema aqui na empresa com uma maquina freebsd 7 que parou, ela era o firewall da empresa e dhcp, agora estamos sem, eu estou precisando das regras que essa maquina tinha no firewall e depois de alguma pesquisa consegui algo com: # pfctl -sn Mostra as regras atuais de NAT # pfctl -sr Mostra as regras atuais de filtragem Nao consegui localizar o script de firewall, acho que quem configurou mudou os padroes, como eu poderia localizar ?Sera que com esses comandos eu obtive tudo que precisava? Alguem poderia me ajudar a traduzir o que foi apresentado,alguma coisa intendi.Com os comandos acima obtive as seguintes respostas respectivamente:# pfctl -sn Mostra as regras atuais de NAT: nat-anchor "pftpx/*" allnat-anchor "natearly/*" allnat-anchor "natrules/*" allnat on xl0 inet from 10.0.0.0/24 port = isakmp to any port = isakmp -> (ng0) port 500 round-robinnat on ng0 inet from 10.0.0.0/24 port = isakmp to any port = isakmp -> (ng0) port 500 round-robinnat on xl0 inet from 10.0.0.0/24 port = 5060 to any port = 5060 -> (ng0) port 5060 round-robinnat on ng0 inet from 10.0.0.0/24 port = 5060 to any port = 5060 -> (ng0) port 5060 round-robinnat on xl0 inet from 10.0.0.0/24 to any -> (ng0) port 1024:65535 round-robinnat on ng0 inet from 10.0.0.0/24 to any -> (ng0) port 1024:65535 round-robinrdr-anchor "pftpx/*" allrdr-anchor "slb" allno rdr on xl1 proto tcp from any to port = ftprdr on xl1 inet proto tcp from any to any port = ftp -> 127.0.0.1 port 8021rdr on ng0 inet proto tcp from any to any port = 5901 -> 10.0.0.10rdr on ng0 inet proto tcp from any to any port = 8089 -> 10.0.0.10 port 8000rdr on ng0 inet proto tcp from any to any port = http -> 10.0.0.10 port 8080rdr on ng0 inet proto tcp from any to any port = -> 10.0.0.10 port 22rdr-anchor "imspector" allrdr-anchor "miniupnpd" all# pfctl -sr Mostra as regras atuais de filtragemscrub all random-id max-mss 1452 fragment reassembleanchor "ftpsesame/*" allanchor "firewallrules" allblock drop quick proto tcp from any port = 0 to anyblock drop quick proto tcp from any to any port = 0block drop quick proto udp from any port = 0 to anyblock drop quick proto udp from any to any port = 0block drop quick from to any label "Block snort2c hosts"block drop quick from any to label "Block snort2c hosts"block drop in quick inet6 allblock drop out quick inet6 allanchor "loopback" allpass in quick on lo0 all flags S/SA keep state label "pass loopback"pass out quick on lo0 all flags S/SA keep state label "pass loopback"anchor "packageearly" allanchor "carp" allanchor "dhcpserverlan" allpass in quick on xl1 inet proto udp from any port = bootpc to 255.255.255.255 port = bootps keep state label "allow access to DHCP server on LAN"pass in quick on xl1 inet proto udp from any port = bootpc to 10.0.0.1 port = bootps keep state label "allow access to DHCP server on LAN"pass out quick on xl1 inet proto udp from 10.0.0.1 port = bootps to any port = bootpc keep state label "allow access to DHCP server on LAN"block drop in log quick on xl0 inet proto udp from any port = bootps to 10.0.0.0/24 port = bootpc label "block dhcp client out wan"block drop in log quick on ng0 inet proto udp from any port = bootps to 10.0.0.0/24 port = bootpc label "block dhcp client out wan"block drop in on ! xl1 inet from 10.0.0.0/24 to anyblock drop in inet from 10.0.0.1 to anyblock drop in on xl1 inet6 from fe80::260:8cff:fef1:879e to anyanchor "spoofing" allanchor "spoofing" allblock drop in on xl0 inet6 from fe80::260:8cff:fef1:8800 to anyblock drop in log quick on xl0 inet from 10.0.0.0/8 to any label "block private networks from wan block 10/8"block drop in log quick on ng0 inet from 10.0.0.0/8 to any label "block private networks from wan block 10/8"block drop in log quick on xl0 inet from 127.0.0.0/8 to any label "block private networks from wan block 127/8"block drop in log quick on ng0 inet from 127.0.0.0/8 to any label "block private networks from wan block 127/8"block drop in log quick on xl0 inet from 172.16.0.0/12 to any label "block private networks from wan block 172.16/12"block drop in log quick on ng0 inet from 172.16.0.0/12 to any label "block private networks from wan block 172.16/12"block drop in log quick on xl0 inet from 192.168.0.0/16 to any label "block private networks from wan block 192.168/16"block drop in log quick on ng0 inet from 192.168.0.0/16 to any label "block private networks from wan block 192.168/16"anchor "limitingesr" allblock drop in quick from to any label "virusprot overload table"anchor "wanbogons" allblock drop in log quick on xl0 from to any label "block bogon networks from wan"block drop in log quick on ng0 from to any label "block bogon networks from wan"pass out quick on xl1 proto icmp all keep state label "let out anything from firewall host itself"pass out quick on xl0 proto icmp all keep state label "let out anything
