Where does Astaro store it's iptables rules?

mattd,

it seems that Astaro assembles the rules from
their configuration files. But I found a document
on the doc server, with this it should be easily
possible to configure own rules.

http://docs.astaro.org/hacking/ipfilter.local

In fact it is for replacing ipsec.conf, but if I
got it right you can enter iptables commands in
here, too.

regards
ollion

[ 02 January 2002: Message edited by: ollion ]

Thanks... I take a look.

I just wondered if Astaro stored it's iptables config anywhere in human readable format so I could easily modify it and not have to run my own scripts at boot time to change the odd iptables entry.

Thanks... I take a look.

I just wondered if Astaro stored it's iptables config anywhere in human readable format so I could easily modify it and not have to run my own scripts at boot time to change the odd iptables entry.

Here's what i found on iptables ruleset from ASL :

They store there static rules (the one that should not change?) in the following file : /etc/wfe/conf/sinputdeny

In the following format :

X#Any#FTP-CONTROL#Any#ACCEPT#
X#Any#SMTP#Any#ACCEPT#
X#Any#DNS#Any#ACCEPT#
X#Any#SQUID#Any#ACCEPT#
X#Any#HTTP#Any#ACCEPT#
X#Any#HTTPS#Any#ACCEPT#
X#Any#AUS#Any#ACCEPT#
X#Any#traceroute-udp#Any#ACCEPT#
X#Any#TTL-exceeded#Any#ACCEPT#
X#Any#IDENT#Any#ACCEPT#

This is really easy to modify :
If you want to turn off a specific configuration just replace the X with 0 as in : 0#Any#HTTP#Any#ACCEPT#

This is REALLY usefull in the case you want to Silently drop a packet getting to port 80 instead of replying that port 80 is CLOSED.

I guess you can add your own or even change the "Any" definition to a specific network definition (ie PRIVATE_NET)

Hope to help!     

Patrice.