android: New release after improving connectivity/scheduling
[strongswan.git] / testing / tests / ha / active-passive / hosts / alice / etc / iptables.rules
1 *filter
2
3 # default policy is DROP
4 -P INPUT DROP
5 -P OUTPUT DROP
6 -P FORWARD DROP
7
8 # forward ESP-tunneled traffic
9 -A FORWARD -i eth1 -m policy --dir in  --pol ipsec --proto esp -s PH_IP_CAROL -j ACCEPT
10 -A FORWARD -i eth1 -m policy --dir in  --pol ipsec --proto esp -s PH_IP_DAVE  -j ACCEPT
11 -A FORWARD -o eth1 -m policy --dir out --pol ipsec --proto esp -j ACCEPT
12
13 # clusterip rules
14 -A INPUT -i eth1 -d 192.168.0.5 -j CLUSTERIP --new --hashmode sourceip --clustermac 01:00:c0:a8:00:05 --total-nodes 1 --local-node 0 
15 -A INPUT -i eth0 -d 10.1.0.5    -j CLUSTERIP --new --hashmode sourceip --clustermac 01:00:0a:01:00:05 --total-nodes 1 --local-node 0 
16
17 # allow esp
18 -A INPUT  -p 50 -j ACCEPT
19 -A OUTPUT -p 50 -d PH_IP_CAROL -j ACCEPT
20 -A OUTPUT -p 50 -d PH_IP_DAVE -j ACCEPT
21
22 # allow esp on internal interface
23 -A OUTPUT -o eth0 -s PH_IP_ALICE -d PH_IP_MOON1 -p 50 -j ACCEPT
24
25 # allow IKE on internal interface
26 -A INPUT  -i eth0 -d PH_IP_ALICE -s PH_IP_MOON1 -p udp --sport 500 --dport 500 -j ACCEPT
27 -A OUTPUT -o eth0 -s PH_IP_ALICE -d PH_IP_MOON1 -p udp --dport 500 --sport 500 -j ACCEPT
28
29 # allow IKE
30 -A INPUT  -i eth1 -p udp --sport 500 --dport 500 -j ACCEPT
31 -A OUTPUT -o eth1 -p udp --dport 500 --sport 500 -j ACCEPT
32
33 # allow MobIKE
34 -A INPUT  -i eth1 -p udp --sport 4500 --dport 4500 -j ACCEPT
35 -A OUTPUT -o eth1 -p udp --dport 4500 --sport 4500 -j ACCEPT
36
37 # allow crl fetch from winnetou
38 -A INPUT  -i eth1 -p tcp --sport 80 -s PH_IP_WINNETOU -j ACCEPT
39 -A OUTPUT -o eth1 -p tcp --dport 80 -d PH_IP_WINNETOU -j ACCEPT
40
41 # allow heartbeat
42 -A INPUT  -i eth0 -d PH_IP_ALICE -s PH_IP_MOON1 -p udp --dport 4510 --sport 4510 -j ACCEPT
43 -A OUTPUT -o eth0 -s PH_IP_ALICE -d PH_IP_MOON1 -p udp --dport 4510 --sport 4510 -j ACCEPT
44
45 # allow ICMP type 3
46 -A INPUT  -i eth0 -d PH_IP_ALICE -s PH_IP_MOON1 -p icmp --icmp-type 3 -j ACCEPT
47 -A OUTPUT -o eth0 -s PH_IP_ALICE -d PH_IP_MOON1 -p icmp --icmp-type 3 -j ACCEPT
48
49 # allow IGMP multicasts
50 -A INPUT  -d 224.0.0.1 -p igmp -j ACCEPT
51 -A OUTPUT -s 224.0.0.1 -p igmp -j ACCEPT
52
53 # allow ssh
54 -A INPUT  -p tcp --dport 22 -j ACCEPT
55 -A OUTPUT -p tcp --sport 22 -j ACCEPT
56
57 COMMIT