fwsnort.conf

   1 #
   2 ###########################################################################
   3 #
   4 #  This is the configuration file for fwsnort.  There are some similarities
   5 #  between this file and the configuration file for Snort.
   6 #
   7 ###########################################################################
   8 #
   9
  10 ### Fwsnort treats all traffic directed to / originating from the local
  11 ### machine as going to / coming from the HOME_NET in Snort rule parlance.
  12 ### If there is only one interface on the local system, then there will be
  13 ### no rules processed via the FWSNORT_FORWARD chain because no traffic
  14 ### would make it into the iptables FORWARD chain.
  15 HOME_NET                any;
  16 EXTERNAL_NET            any;
  17
  18 ### List of servers.  Fwsnort supports the same variable resolution as
  19 ### Snort.
  20 HTTP_SERVERS            $HOME_NET;
  21 SMTP_SERVERS            $HOME_NET;
  22 DNS_SERVERS             $HOME_NET;
  23 SQL_SERVERS             $HOME_NET;
  24 TELNET_SERVERS          $HOME_NET;
  25
  26 ### AOL AIM server nets
  27 AIM_SERVERS             [64.12.24.0/24, 64.12.25.0/24, 64.12.26.14/24, 64.12.28.0/24, 64.12.29.0/24, 64.12.161.0/24, 64.12.163.0/24, 205.188.5.0/24, 205.188.9.0/24];
  28
  29 ### Configurable port numbers
  30 SSH_PORTS               22;
  31 HTTP_PORTS              80;
  32 SHELLCODE_PORTS         !80;
  33 ORACLE_PORTS            1521;
  34
  35 ### Default update URL for new rules.  This variable can be given multiple
  36 ### times on separate lines in order to specify multiple update URL's:
  37 #UPDATE_RULES_URL       <url1>
  38 #UPDATE_RULES_URL       <url2>
  39 UPDATE_RULES_URL        http://rules.emergingthreats.net/open/snort-2.9.0/emerging-all.rules;
  40
  41 ### define average packet lengths and maximum frame length.  This is
  42 ### used for iptables length match emulation of the Snort dsize option.
  43 AVG_IP_HEADER_LEN       20;   ### IP options are not usually used.
  44 AVG_TCP_HEADER_LEN      30;   ### Include 10 bytes for options
  45 MAX_FRAME_LEN           1500;
  46
  47 ### define the max length of the content (null terminated string) that
  48 ### can be passed to either the --hex-string or --string iptables matches.
  49 ### Note that as of fwsnort-1.5, the max string length supported by the
  50 ### local iptables instance is automatically determined, so this variable
  51 ### is not really needed, and just allows a max value to be set
  52 ### independently of what iptables supports.
  53 MAX_STRING_LEN          1024;
  54
  55 ### Use the WHITELIST variable to define a list of hosts/networks
  56 ### that should be completely ignored by fwsnort.  For example, if you
  57 ### want to whitelist the IP 192.168.10.1 and the network 10.1.1.0/24,
  58 ### you would use (note that you can also specify multiple WHITELIST
  59 ### variables, one per line):
  60 #WHITELIST             192.168.10.1, 10.1.1.0/24;
  61 WHITELIST               NONE;
  62
  63 ### Use the BLACKLIST variable to define a list of hosts/networks
  64 ### that for which fwsnort should DROP or REJECT all traffic.  For
  65 ### example, to DROP all traffic from the 192.168.10.0/24 network, you
  66 ### can use:
  67 ###     BLACKLIST            192.168.10.0/24    DROP;
  68 ### To have fwsnort REJECT all traffic from 192.168.10.0/24, you would
  69 ### use:
  70 ###     BLACKLIST            192.168.10.0/24    REJECT;
  71 BLACKLIST               NONE;
  72
  73 ### define the jump position in the built-in chains to jump to the
  74 ### fwsnort chains
  75 FWSNORT_INPUT_JUMP      1;
  76 FWSNORT_OUTPUT_JUMP     1;
  77 FWSNORT_FORWARD_JUMP    1;
  78
  79 ### iptables chains (these do not normally need to be changed).
  80 FWSNORT_INPUT           FWSNORT_INPUT;
  81 FWSNORT_INPUT_ESTAB     FWSNORT_INPUT_ESTAB;
  82 FWSNORT_OUTPUT          FWSNORT_OUTPUT;
  83 FWSNORT_OUTPUT_ESTAB    FWSNORT_OUTPUT_ESTAB;
  84 FWSNORT_FORWARD         FWSNORT_FORWARD;
  85 FWSNORT_FORWARD_ESTAB   FWSNORT_FORWARD_ESTAB;
  86
  87 ### fwsnort library path
  88 CONF_DIR                /etc/fwsnort;
  89 RULES_DIR               $CONF_DIR/snort_rules;
  90 QUEUE_RULES_DIR         $CONF_DIR/snort_rules_queue;
  91 LOG_DIR                 /var/log/fwsnort;
  92 LIBS_DIR                /usr/lib/fwsnort;  ### for perl modules
  93 STATE_DIR               /var/lib/fwsnort;
  94 ARCHIVE_DIR             $STATE_DIR/archive;
  95
  96 CONF_FILE               $CONF_DIR/fwsnort.conf;
  97 LOG_FILE                $LOG_DIR/fwsnort.log;
  98 FWSNORT_SCRIPT          $STATE_DIR/fwsnort_iptcmds.sh;  ### slow version
  99 FWSNORT_SAVE_EXEC_FILE  $STATE_DIR/fwsnort.sh;    ### main fwsnort.sh script
 100 FWSNORT_SAVE_FILE       $STATE_DIR/fwsnort.save;  ### main fwsnort.save file
 101 IPT_BACKUP_SAVE_FILE    $STATE_DIR/iptables.save; ### iptables policy backup
 102
 103 ### system binaries
 104 shCmd                   /bin/sh;
 105 echoCmd                 /bin/echo;
 106 tarCmd                  /bin/tar;
 107 wgetCmd                 /usr/bin/wget;
 108 unameCmd                /usr/bin/uname;
 109 ifconfigCmd             /sbin/ifconfig;
 110 iptablesCmd             /sbin/iptables;
 111 iptables-saveCmd        /sbin/iptables-save;
 112 iptables-restoreCmd     /sbin/iptables-restore;
 113 ip6tablesCmd            /sbin/ip6tables;
 114 ip6tables-saveCmd       /sbin/ip6tables-save;
 115 ip6tables-restoreCmd    /sbin/ip6tables-restore;