PhenIXUS

[jdh]

Evidemment que c'était norfc1918 qui une erreur évidente puisque l'adressage de cette zone est justement "rfc1918 compliant".

Du cela doit rétablir le ping de la gateway, et l'accès à Internet depuis le firewall ...

(Il faut évidemment refaire 'shorewall restart' entre chaque modif de fichier ...)

Le paquet bloqué est 53/udp (=dns). Soit c'est une requête normale, soit vous proposez le dns au niveau du firewall et il faut interdire cela.
(Pour proposer dns, on peut utiliser dnsmasq ou bien le traditionnel bind9)

Dans l'ordre, il faut tester depuis le firewall, puis quand TOUT est ok passer à un micro du lan (loc).
(boucle modif, restart, test + log + tcpdump)

Je ne vois pas l'intérêt de policy trop laxistes (fw net all) : il suffit remplir rules.
Perso, j'écri(vai)s rules en découpant des 'sections' comme

# fw -> net : ping, dns, http, https, ftp
accept fw net icmp 8
accept fw net udp domain
accept fw net tcp domain,www,https,ftp

# fw -> loc : ping
accept fw loc icmp 8

et ainsi de suite ...

[totoche]

malgré les options virées sur eth0 impossible d'avoir l’accès au net et encore moins le ping sur la gateway
j'ai commente DNS/ACCEPT

mais malgré ça le problème reste entier. Là j'avoue avoir la gueule dans sac

[jdh]

Une mise en oeuvre passe par une démarche en étape :
si le firewall ne se connecte pas correctement au net, il n'y aucune chance que le reste suive !

De base, c'est ping puis dns, et pour une debian mise à jour (en général sur http).

La config firewall doit se concentrer sur cela, donc le reste est commenté avec des #

Si shorewall restart ne fait rien, il faut redémarrer ...
Et pour tout test, c'est sur plusieurs consoles, tail -f /var/log/syslog, tcpdump -ln -i (eth?), et la commande.

STEP BY STEP (et pas 2 réglages en même temps !)

[totoche]

j'ai fini par trouver le prob

sur le pc j'ai 4 ports rg45 marques (port 1 à 4)
sur mon fichier /etc/network/interfaces je l'est déclare comme suis

port 1 = eth0
port 2 = eth1
....
port 4 = eth3

eth0 qui devrais être 192.168.1.2 est passe sur le port 3

comment remettre ça dans le bonne ordre ?? de facon que port 1 = 192.168.1.2

a+ je part casser la croute

[jdh]

Il faut chercher du côté de /etc/udev/rules.d/

Attention, c'est facile quand ... on a fini !
(Des pistes dans google + "udev rules.d eth0 eth1" ...)

[totoche]

toujours et toujours le problème de connexion au net

à partir de mon pc (192.168.10.5) je ping bien la crt réseau lan du firewall (192.168.10.2)
ainsi que la carte du net (192.168.1.2)

mais impossible de pinguer la gateway (192.168.1.1)

à partir du pc firewall je pingue bien la crt lan, net et la gateway

le fichier /proc/sys/net/ipv4/ip_forward est bien a 1
et IP_FORWARDING=Yes dans shorewall.conf

tout ça avec shorewall stoppé même en marche le prob persiste

[jdh]

Il ne sert à rien de tester autre chose que D'ABORD le firewall !

Quand TOUT sera OK pour eth0=net, il sera temps de regarder autre chose ...

[totoche]

c'est bien se que je fait je m'occupe du firewall et de sa connexion au net
et elle est ok je peux faire des apt-get update sans problème

à partir du pc firewall je pingue bien la crt lan, net et la gateway

c'est à partir de mon poste que le net est inaccessible

j'ai désactivé toutes les règles inutiles pour l'instant dans le fichier rules

[jdh]

Je n'avais pas vu que 'fw -> net' était OK ...

Attention, il y a une différence entre 'shorewall stop' et pas de filtrage !

Il serait bon de reposer tous les fichiers parce que là, on ne sait plus où on en est ...

cat /etc/network/interfaces
ip add
ip route
cat /proc/sys/net/ipv4/ip_forward
fichiers Shorewall
iptables -vn -L (extraits)

[totoche]

on etale tout surtout que je repart à partir d'une install propre

pour le fichier /etc/network/interface

# The loopback network interface
auto lo eth0 eth1
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet static
address 192.168.1.2
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 191.168.1.1
#dns-search charbon.re

allow-hotplug eth1
iface eth1 inet static
address 192.168.10.2
netmask 255.255.255.0
network 192.168.10.0
broadcast 192.168.10.255

pour ip add

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN qlen 1000
link/ether 00:0f:c9:05:58:b0 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.2/24 brd 192.168.1.255 scope global eth0
inet6 fe80::20f:c9ff:fe05:58b0/64 scope link
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:0f:c9:05:58:b1 brd ff:ff:ff:ff:ff:ff
inet 192.168.10.2/24 brd 192.168.10.255 scope global eth1
inet6 fe80::20f:c9ff:fe05:58b1/64 scope link
valid_lft forever preferred_lft forever
4: eth2: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:0f:c9:05:58:b3 brd ff:ff:ff:ff:ff:ff
5: eth4: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:0f:c9:05:58:b2 brd ff:ff:ff:ff:ff:ff
6: eth3: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:0f:c9:05:58:b4 brd ff:ff:ff:ff:ff:ff

ip route

192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.2
192.168.10.0/24 dev eth1 proto kernel scope link src 192.168.10.2
default via 192.168.1.1 dev eth0

pour /proc/sys/net/ipv4/ip_forward il est a 1

fichiers Shorewall

interfaces
#ZONE INTERFACE BROADCAST OPTIONS
net eth0 detect tcpflags,nosmurfs,routefilter,logmartians
loc eth1 detect tcpflags,dhcp,nosmurfs,routefilter,logmartians
dmz eth2 detect tcpflags,nosmurfs,routefilter,logmartians

masq
#INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK
eth0 eth1

policy
fw net ACCEPT
loc net ACCEPT
net all DROP info
# THE FOLLOWING POLICY MUST BE LAST
all all REJECT info

zone
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
net ipv4
loc ipv4
dmz ipv4

rules
#ACTION SOURCE DEST PROTO DEST PORT(S)
COMMENT acces au net
ACCEPT loc fw tcp
ACCEPT fw loc tcp
COMMENT acces à SSH
ACCEPT:ULOG loc fw tcp 2222
ACCEPT fw loc tcp 2222 - - 3/min:2
COMMENT acces au ping
ACCEPT loc fw icmp echo-request
ACCEPT dmz loc icmp echo-request
ACCEPT loc dmz icmp echo-request
ACCEPT loc net icmp echo-request
ACCEPT fw net icmp echo-request
COMMENT On interdit le port 113 rester ouvert
DROP net $FW tcp 113
DROP net $FW udp 113

iptables -vn -L

Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
372 106K dynamic all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID,NEW
188 146K net2fw all -- eth0 * 0.0.0.0/0 0.0.0.0/0
499 116K loc2fw all -- eth1 * 0.0.0.0/0 0.0.0.0/0
0 0 dmz2fw all -- eth2 * 0.0.0.0/0 0.0.0.0/0
30 2712 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 Reject all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:INPUT:REJECT:'
0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0 [goto]

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 dynamic all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID,NEW
0 0 net_frwd all -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 loc_frwd all -- eth1 * 0.0.0.0/0 0.0.0.0/0
0 0 dmz_frwd all -- eth2 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 Reject all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:FORWARD:REJECT:'
0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0 [goto]

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
178 19135 fw2net all -- * eth0 0.0.0.0/0 0.0.0.0/0
122 36605 fw2loc all -- * eth1 0.0.0.0/0 0.0.0.0/0
0 0 fw2dmz all -- * eth2 0.0.0.0/0 0.0.0.0/0
30 2712 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain Drop (3 references)
pkts bytes target prot opt in out source destination
22 934 all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 reject tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 /* Auth */
22 934 dropBcast all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3 code 4 /* Needed ICMP types */
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11 /* Needed ICMP types */
20 878 dropInvalid all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 135,445 /* SMB */
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:139 /* SMB */
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:137 dpts:1024:65535 /* SMB */
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 135,139,445 /* SMB */
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1900 /* UPnP */
19 838 dropNotSyn tcp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:53 /* Late DNS Replies */
Chain Reject (6 references)
pkts bytes target prot opt in out source destination
0 0 all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 reject tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 /* Auth */
0 0 dropBcast all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3 code 4 /* Needed ICMP types */
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11 /* Needed ICMP types */
0 0 dropInvalid all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 reject udp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 135,445 /* SMB */
0 0 reject udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:137:139 /* SMB */
0 0 reject udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:137 dpts:1024:65535 /* SMB */
0 0 reject tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 135,139,445 /* SMB */
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:1900 /* UPnP */
0 0 dropNotSyn tcp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:53 /* Late DNS Replies */

Chain dmz2fw (1 references)
pkts bytes target prot opt in out source destination
0 0 smurfs all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID,NEW
0 0 tcpflags tcp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 Reject all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:dmz2fw:REJECT:'
0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0 [goto]

Chain dmz2loc (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 /* acces au ping */
0 0 Reject all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:dmz2loc:REJECT:'
0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0 [goto]

Chain dmz2net (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 Reject all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:dmz2net:REJECT:'
0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0 [goto]

Chain dmz_frwd (1 references)
pkts bytes target prot opt in out source destination
0 0 smurfs all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID,NEW
0 0 tcpflags tcp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 dmz2net all -- * eth0 0.0.0.0/0 0.0.0.0/0
0 0 dmz2loc all -- * eth1 0.0.0.0/0 0.0.0.0/0

Chain dropBcast (2 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type BROADCAST
2 56 DROP all -- * * 0.0.0.0/0 224.0.0.0/4

Chain dropInvalid (2 references)
pkts bytes target prot opt in out source destination
1 40 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID

Chain dropNotSyn (2 references)
pkts bytes target prot opt in out source destination
17 718 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02

Chain dynamic (2 references)
pkts bytes target prot opt in out source destination

Chain fw2dmz (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain fw2loc (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:67:68
122 36605 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 /* acces au net */
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2222 limit: avg 3/min burst 2 /* acces à SSH */
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain fw2net (1 references)
pkts bytes target prot opt in out source destination
134 16391 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
4 336 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 /* acces au ping */
40 2408 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain loc2dmz (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 /* acces au ping */
0 0 Reject all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:loc2dmz:REJECT:'
0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0 [goto]

Chain loc2fw (1 references)
pkts bytes target prot opt in out source destination
349 105K smurfs all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID,NEW
295 96760 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:67:68
151 11612 tcpflags tcp -- * * 0.0.0.0/0 0.0.0.0/0
150 11560 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
1 52 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 /* acces au net */
0 0 log0 tcp -- * * 0.0.0.0/0 0.0.0.0/0 [goto] tcp dpt:2222 /* acces à SSH */
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 /* acces au ping */
53 7691 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain loc2net (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 /* acces au ping */
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain loc_frwd (1 references)
pkts bytes target prot opt in out source destination
0 0 smurfs all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID,NEW
0 0 tcpflags tcp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 loc2net all -- * eth0 0.0.0.0/0 0.0.0.0/0
0 0 loc2dmz all -- * eth2 0.0.0.0/0 0.0.0.0/0

Chain log0 (1 references)
pkts bytes target prot opt in out source destination
0 0 ULOG all -- * * 0.0.0.0/0 0.0.0.0/0 /* acces à SSH */ ULOG copy_range 0 nlgroup 1 prefix `Shorewall:loc2fw:ACCEPT:' queue_threshold 1
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 /* acces à SSH */

Chain logdrop (0 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain logflags (5 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 4 level 6 prefix `Shorewall:logflags:DROP:'
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain logreject (0 references)
pkts bytes target prot opt in out source destination
0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0
Chain net2dmz (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 Drop all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:net2dmz:DROP:'
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain net2fw (1 references)
pkts bytes target prot opt in out source destination
22 934 smurfs all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID,NEW
181 146K tcpflags tcp -- * * 0.0.0.0/0 0.0.0.0/0
166 145K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 /* On interdit le port 113 rester ouvert */
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:113 /* On interdit le port 113 rester ouvert */
22 934 Drop all -- * * 0.0.0.0/0 0.0.0.0/0
2 120 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:net2fw:DROP:'
2 120 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain net2loc (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 Drop all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:net2loc:DROP:'
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain net_frwd (1 references)
pkts bytes target prot opt in out source destination
0 0 smurfs all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID,NEW
0 0 tcpflags tcp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 net2loc all -- * eth1 0.0.0.0/0 0.0.0.0/0
0 0 net2dmz all -- * eth2 0.0.0.0/0 0.0.0.0/0

Chain reject (13 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match src-type BROADCAST
0 0 DROP all -- * * 224.0.0.0/4 0.0.0.0/0
0 0 DROP 2 -- * * 0.0.0.0/0 0.0.0.0/0
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset
0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT icmp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-unreachable
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

Chain shorewall (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:smurfs:DROP:'
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain smurfs (6 references)
pkts bytes target prot opt in out source destination
295 96760 RETURN all -- * * 0.0.0.0 0.0.0.0/0
0 0 smurflog all -- * * 0.0.0.0/0 0.0.0.0/0 [goto] ADDRTYPE match src-type BROADCAST
0 0 smurflog all -- * * 224.0.0.0/4 0.0.0.0/0 [goto]

Chain tcpflags (6 references)
pkts bytes target prot opt in out source destination
0 0 logflags tcp -- * * 0.0.0.0/0 0.0.0.0/0 [goto] tcp flags:0x3F/0x29
0 0 logflags tcp -- * * 0.0.0.0/0 0.0.0.0/0 [goto] tcp flags:0x3F/0x00
0 0 logflags tcp -- * * 0.0.0.0/0 0.0.0.0/0 [goto] tcp flags:0x06/0x06
0 0 logflags tcp -- * * 0.0.0.0/0 0.0.0.0/0 [goto] tcp flags:0x03/0x03
0 0 logflags tcp -- * * 0.0.0.0/0 0.0.0.0/0 [goto] tcp spt:0 flags:0x17/0x02