#ACTION SOURCE DEST PROTO DEST PORT(S) SOURCE ORIGINAL ########################################################################################################################################################################################################### #Inbound DNAT forwarding from WAN to various zone/ip pinholes ########################################################################################################################################################################################################### ######################################################### #KNEL rules #158.69.183.165/29 eth1:2 ######################################################### DNAT wan knel:10.253.8.72 tcp 443 - 158.69.183.165 DNAT wan knel:10.253.8.72 tcp 80 - 158.69.183.165 DNAT wan knel:10.253.8.72 tcp 993 - 158.69.183.165 DNAT wan knel:10.253.8.72 tcp 25 - 158.69.183.165 DNAT wan knel:10.253.8.72 tcp 465 - 158.69.183.165 DNAT wan knel:10.253.8.72 tcp 5222 - 158.69.183.165 ######################################################### #TSYS rules #158.69.183.161/29 eth1 ######################################################### DNAT wan tsys:10.253.9.78 tcp 443 - 158.69.183.161 DNAT wan tsys:10.253.9.78 tcp 80 - 158.69.183.161 DNAT wan tsys:10.253.9.78 tcp 25 - 158.69.183.161 DNAT wan tsys:10.253.9.78 tcp 465 - 158.69.183.161 DNAT wan tsys:10.253.9.78 tcp 5222 - 158.69.183.161 ######################################################### #RackRental WAN rules #158.69.183.164/29 eth1:1 ######################################################### #158.69.183.164/29 DNAT wan rr:10.253.6.81 tcp 443 - 158.69.183.164 DNAT wan rr:10.253.6.81 tcp 80 - 158.69.183.164 ############################################################ #S2l/asn WAN rules handled by their upstream routers/admins ############################################################ ########################################################################################################################################################################################################### #site to site and road warrior VPN rules ########################################################################################################################################################################################################### #Allow road warrior connectivity from anywhere ACCEPT wan fw udp 443 #Allow auslab site to site vpn ACCEPT wan fw tcp 1195 ACCEPT wan fw udp 1195 ############################################################ #FW rules for RoadWarrior VPN ############################################################ ACCEPT all vpnrwr all ############################################################ #FW rules for STS VPN - AUSLAB #ACCEPT loc vpnauslab all ############################################################ ACCEPT vpnauslab all all ACCEPT $FW vpnauslab all ############################################################ #FW rules for STS VPN - client - asn2net #Lock this down soon ############################################################ ACCEPT $FW vpnasn2net all ACCEPT vpnasn2net $FW all ########################################################################################################################################################################################################### #outbound from various local nets and the firewall to WAN ########################################################################################################################################################################################################### ACCEPT rr wan all #Lock this down soon ACCEPT rr tsys all #Lock this down soon ACCEPT knel,tsys,mgmt wan all #Temp rules to get stuff working.. ACCEPT $FW all all #Fw can access everything for now, Lock this down later ACCEPT mgmt $FW ACCEPT vpnauslab mgmt all ACCEPT vpnauslab all all ########################################################################################################################################################################################################### #intra zone pinhole rules ########################################################################################################################################################################################################### ACCEPT vpnrwr,rr,barm,tsys,knel,fnf mgmt:10.253.3.86 udp 53 ACCEPT vpnrwr,rr,barm,tsys,knel,fnf mgmt:10.253.3.86 tcp 53 ########################################################################################################################################################################################################### #intra zone wide rules ########################################################################################################################################################################################################### #Mgmt can hit everything yo, cause it's fucking management with a capital M ACCEPT mgmt barm,tsys,knel,fnf,vpnrwr,asn,s2l,vpnauslab all #Ad replication rule ACCEPT mgmt:10.253.3.86 vpnauslab:10.251.2.98 all ACCEPT vpnauslab:10.251.2.98 mgmt:10.253.3.86 all #Zenoss rule ACCEPT mgmt:10.253.3.77 all all #Brendan mgmt access ACCEPT vpnasn2net:10.30.1.2 mgmt:10.253.3.86 udp 53 ACCEPT vpnasn2net:10.30.1.2 mgmt:10.253.3.86 tcp 53 ACCEPT vpnasn2net:10.30.3.0/24 $FW ACCEPT vpnasn2net:10.30.2.0/24 $FW ACCEPT vpnasn2net:10.30.2.0/24 mgmt ACCEPT vpnasn2net:10.30.3.0/24 mgmt