updated QUEUE_RULES_DIR path to a sub-dir of /var/lib/fwsnort/
[fwsnort.git] / fwsnort.conf
1 #
2 ###########################################################################
3 #
4 #  This is the configuration file for fwsnort.  There are some similarities
5 #  between this file and the configuration file for Snort.
6 #
7 ###########################################################################
8 #
9
10 ### Fwsnort treats all traffic directed to / originating from the local
11 ### machine as going to / coming from the HOME_NET in Snort rule parlance.
12 ### If there is only one interface on the local system, then there will be
13 ### no rules processed via the FWSNORT_FORWARD chain because no traffic
14 ### would make it into the iptables FORWARD chain.
15 HOME_NET                any;
16 EXTERNAL_NET            any;
17
18 ### List of servers.  Fwsnort supports the same variable resolution as
19 ### Snort.
20 HTTP_SERVERS            $HOME_NET;
21 SMTP_SERVERS            $HOME_NET;
22 DNS_SERVERS             $HOME_NET;
23 SQL_SERVERS             $HOME_NET;
24 TELNET_SERVERS          $HOME_NET;
25
26 ### AOL AIM server nets
27 AIM_SERVERS             [64.12.24.0/24, 64.12.25.0/24, 64.12.26.14/24, 64.12.28.0/24, 64.12.29.0/24, 64.12.161.0/24, 64.12.163.0/24, 205.188.5.0/24, 205.188.9.0/24];
28
29 ### Configurable port numbers
30 SSH_PORTS               22;
31 HTTP_PORTS              80;
32 SHELLCODE_PORTS         !80;
33 ORACLE_PORTS            1521;
34
35 ### Default update URL for new rules.  This variable can be given multiple
36 ### times on separate lines in order to specify multiple update URL's:
37 #UPDATE_RULES_URL       <url1>
38 #UPDATE_RULES_URL       <url2>
39 UPDATE_RULES_URL        http://rules.emergingthreats.net/open/snort-2.9.0/emerging-all.rules;
40
41 ### define average packet lengths and maximum frame length.  This is
42 ### used for iptables length match emulation of the Snort dsize option.
43 AVG_IP_HEADER_LEN       20;   ### IP options are not usually used.
44 AVG_TCP_HEADER_LEN      30;   ### Include 10 bytes for options
45 MAX_FRAME_LEN           1500;
46
47 ### define the max length of the content (null terminated string) that
48 ### can be passed to either the --hex-string or --string iptables matches.
49 ### Note that as of fwsnort-1.5, the max string length supported by the
50 ### local iptables instance is automatically determined, so this variable
51 ### is not really needed, and just allows a max value to be set
52 ### independently of what iptables supports.
53 MAX_STRING_LEN          1024;
54
55 ### Use the WHITELIST variable to define a list of hosts/networks
56 ### that should be completely ignored by fwsnort.  For example, if you
57 ### want to whitelist the IP 192.168.10.1 and the network 10.1.1.0/24,
58 ### you would use (note that you can also specify multiple WHITELIST
59 ### variables, one per line):
60 #WHITELIST             192.168.10.1, 10.1.1.0/24;
61 WHITELIST               NONE;
62
63 ### Use the BLACKLIST variable to define a list of hosts/networks
64 ### that for which fwsnort should DROP or REJECT all traffic.  For
65 ### example, to DROP all traffic from the 192.168.10.0/24 network, you
66 ### can use:
67 ###     BLACKLIST            192.168.10.0/24    DROP;
68 ### To have fwsnort REJECT all traffic from 192.168.10.0/24, you would
69 ### use:
70 ###     BLACKLIST            192.168.10.0/24    REJECT;
71 BLACKLIST               NONE;
72
73 ### define the jump position in the built-in chains to jump to the
74 ### fwsnort chains
75 FWSNORT_INPUT_JUMP      1;
76 FWSNORT_OUTPUT_JUMP     1;
77 FWSNORT_FORWARD_JUMP    1;
78
79 ### iptables chains (these do not normally need to be changed).
80 FWSNORT_INPUT           FWSNORT_INPUT;
81 FWSNORT_INPUT_ESTAB     FWSNORT_INPUT_ESTAB;
82 FWSNORT_OUTPUT          FWSNORT_OUTPUT;
83 FWSNORT_OUTPUT_ESTAB    FWSNORT_OUTPUT_ESTAB;
84 FWSNORT_FORWARD         FWSNORT_FORWARD;
85 FWSNORT_FORWARD_ESTAB   FWSNORT_FORWARD_ESTAB;
86
87 ### fwsnort library path
88 CONF_DIR                /etc/fwsnort;
89 RULES_DIR               $CONF_DIR/snort_rules;
90 LOG_DIR                 /var/log/fwsnort;
91 LIBS_DIR                /usr/lib/fwsnort;  ### for perl modules
92 STATE_DIR               /var/lib/fwsnort;
93 QUEUE_RULES_DIR         $STATE_DIR/snort_rules_queue;
94 ARCHIVE_DIR             $STATE_DIR/archive;
95
96 CONF_FILE               $CONF_DIR/fwsnort.conf;
97 LOG_FILE                $LOG_DIR/fwsnort.log;
98 FWSNORT_SCRIPT          $STATE_DIR/fwsnort_iptcmds.sh;  ### slow version
99 FWSNORT_SAVE_EXEC_FILE  $STATE_DIR/fwsnort.sh;    ### main fwsnort.sh script
100 FWSNORT_SAVE_FILE       $STATE_DIR/fwsnort.save;  ### main fwsnort.save file
101 IPT_BACKUP_SAVE_FILE    $STATE_DIR/iptables.save; ### iptables policy backup
102
103 ### system binaries
104 shCmd                   /bin/sh;
105 echoCmd                 /bin/echo;
106 tarCmd                  /bin/tar;
107 wgetCmd                 /usr/bin/wget;
108 unameCmd                /usr/bin/uname;
109 ifconfigCmd             /sbin/ifconfig;
110 iptablesCmd             /sbin/iptables;
111 iptables-saveCmd        /sbin/iptables-save;
112 iptables-restoreCmd     /sbin/iptables-restore;
113 ip6tablesCmd            /sbin/ip6tables;
114 ip6tables-saveCmd       /sbin/ip6tables-save;
115 ip6tables-restoreCmd    /sbin/ip6tables-restore;